آنتی ویروس پادویش خرید طلا از میلادزر

مایکروسافت از بدافزار جدید سرقت رمزارز پرده برداشت؛ انتشار از طریق USB و ارتباط مخفی با شبکه Tor

مایکروسافت از بدافزار جدید سرقت رمزارز پرده برداشت؛ انتشار از طریق USB و ارتباط مخفی با شبکه Tor

به گزارش زوم تک، مایکروسافت جزئیات یک کمپین بدافزاری جدید مبتنی بر ویندوز را فاش کرده که از فوریه ۲۰۲۶ کاربران را هدف قرار داده است. این بدافزار که در دسته «Clipper» قرار می گیرد، با استفاده از حافظه های USB آلوده و فایل های میانبر مخرب (LNK) منتشر می شود و با سوءاستفاده از کلیپ بورد ویندوز، اطلاعات کیف پول های رمزارزی کاربران را سرقت می کند.

کانال بله زوم تکگیفت کارت

بر اساس گزارش تیم Microsoft Defender Security Research، این بدافزار برای برقراری ارتباط با سرور فرماندهی و کنترل خود از یک پروکسی Tor قابل حمل و یک شبکه مخفی مبتنی بر Tor استفاده می کند. همچنین علاوه بر سرقت اطلاعات، قابلیت اجرای کد از راه دور را نیز در اختیار مهاجمان قرار می دهد و عملا یک درب پشتی سبک وزن روی سیستم قربانی ایجاد می کند.

بدافزار Clipper چگونه عمل می کند؟

بدافزارهای Clipper به گونه ای طراحی شده اند که محتوای کپی شده در کلیپ بورد ویندوز را به صورت مداوم زیر نظر بگیرند. هدف اصلی این حملات، کاربران رمزارزها هستند. هنگامی که کاربر آدرس کیف پولی را برای انتقال ارز دیجیتال کپی می کند، بدافزار آدرس را با آدرس کیف پول متعلق به مهاجم جایگزین می کند تا دارایی ها به حساب هکرها منتقل شوند.

این بدافزار همچنین به دنبال استخراج عبارت بازیابی (Seed Phrase) و کلیدهای خصوصی کیف پول های رمزارزی است و می تواند تصاویر صفحه نمایش را نیز به سرور مهاجمان ارسال کند.

انتشار از طریق حافظه های USB و فایل های میانبر آلوده

حمله با استفاده از فایل های LNK مخرب که از طریق حافظه های USB توزیع می شوند آغاز می شود. پس از اجرای فایل، ابتدا بررسی می شود که آیا سیستم قبلا آلوده شده است یا خیر و در صورت نبود آلودگی، فایل های مخرب از سرور مهاجمان دریافت می شوند.

این بدافزار فایل های متداول مانند DOC، XLSX و PDF موجود روی حافظه USB را مخفی کرده و به جای آن ها فایل های میانبر مشابه ایجاد می کند. در نتیجه، کاربر تصور می کند یک فایل عادی را باز می کند اما در واقع باعث اجرای بدافزار می شود.

ایجاد پایداری و گسترش به سایر دستگاه ها

بخش کرم یا Worm این بدافزار علاوه بر انتشار خود به سایر حافظه های USB، از طریق ایجاد وظایف زمان بندی شده (Scheduled Tasks) روی سیستم، ماندگاری خود را تضمین می کند. همچنین برای کاهش احتمال شناسایی، در صورتی که Task Manager ویندوز در حال اجرا باشد، فعالیت خود را متوقف می کند.

این بدافزار با استفاده از WScript و ActiveXObject با سیستم عامل تعامل دارد و برای اجرای بخش های مختلف از اسکریپت های ویندوز استفاده می کند.

ارتباط مخفی با شبکه Tor و اجرای کد از راه دور

در مرحله نهایی، بدافزار یک نسخه تغییرنام یافته از Tor را در پس زمینه اجرا کرده و برای هر قربانی یک شناسه منحصر به فرد ایجاد می کند. سپس این شناسه در سرور فرماندهی و کنترل ثبت می شود.

پس از برقراری ارتباط، بدافزار به صورت مداوم هر ۵۰۰ میلی ثانیه محتوای کلیپ بورد را بررسی می کند و همزمان منتظر دریافت دستورات جدید از سرور مهاجمان می ماند. در صورتی که سرور دستور EVAL را ارسال کند، کدهای دلخواه مهاجم روی سیستم قربانی اجرا خواهند شد.

توصیه های مایکروسافت برای مقابله با این حملات

مایکروسافت به مدیران امنیتی توصیه کرده است به جای تکیه صرف بر امضاهای ثابت، از روش های مبتنی بر رفتار برای شناسایی این تهدید استفاده کنند. نظارت بر اجرای PowerShell، WScript، CScript و فرآیندهای غیرمنتظره می تواند در کشف این حملات موثر باشد.

همچنین غیرفعال کردن قابلیت AutoRun و AutoPlay برای تمامی حافظه های قابل حمل، مسدود کردن اجرای فایل های LNK از روی رسانه های USB از طریق Group Policy و محدود کردن استفاده غیرضروری از wscript.exe و cscript.exe از جمله اقدامات مهم دفاعی محسوب می شوند.

کاربران حوزه مالی بیش از دیگران در معرض خطر هستند

مایکروسافت تاکید کرده است دستگاه هایی که برای انجام تراکنش های مالی و نگهداری دارایی های رمزارزی استفاده می شوند باید تحت نظارت بیشتری قرار گیرند. بررسی رفتارهای مرتبط با کلیپ بورد و ابزارهای ثبت تصویر صفحه نمایش می تواند به شناسایی سریع تر این نوع بدافزارها کمک کند.

کارشناسان امنیتی هشدار می دهند که با پیچیده تر شدن حملات سایبری، بدافزارهای مبتنی بر سرقت رمزارزها به یکی از مهم ترین تهدیدات کاربران حوزه ارزهای دیجیتال تبدیل شده اند و رعایت نکات امنیتی در استفاده از کیف پول های دیجیتال اهمیت بیشتری نسبت به گذشته پیدا کرده است.

به این پست امتیاز بدید

نظرات در مورد : مایکروسافت از بدافزار جدید سرقت رمزارز پرده برداشت؛ انتشار از طریق USB و ارتباط مخفی با شبکه Tor

0 دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *