کشف بدافزار جدیدی که می‌تواند بدون شناسایی شدن با یک کلیک روی سیستم قربانی اجرا شود

بدافزار جدیدی کشف شده است که بسیاری از نرم‌افزارهای ضدویروس قادر به شناسایی آن نبوده و می‌تواند به‌دستگاه شما آسیب جدی وارد کند. به‌نظر می‌رسد این بدافزار آنقدر خوب ساخته شده است که برخی آن را به دولت‌ها نسبت داده‌اند. این بدافزار خود را در یک فایل ضمیمه‌ی ایمیل مخفی می‌کند و قربانی فقط با باز کردن این فایل، اجازه ورود و خراب‌کاری را برای آن صادر کرده است.

دیجیتال‌ترندز می‌نویسد، یک تیم امنیتی از پالو آلتو به‌نام واحد ۴۲، به‌تازگی گزارشی درمورد یک بدافزار جدید منتشر کرده است که می‌تواند از سد امنیتی ۵۶ آنتی‌ویروس بزرگ جهان عبور کند. به گفته‌ی این تیم، نحوه‌ی ساخت، بسته‌بندی و استقرار این بدافزار به تکنیک‌های مختلفی که گروه APT29 از آن‌ها استفاده می‌کند شباهت بسیار زیادی دارد. این تیم هکری با نام Iron Ritual و Cozy Bear نیز شناخته می‌شوند. این گروه به سرویس اطلاعات خارجی روسیه (SVR) نسبت داده شده است که نشان می‌دهد بدافزار موردبحث می‌تواند ساخت دولت این کشور باشد.

طبق اعلام واحد ۴۲، این بدافزار اولین‌بار در مه ۲۰۲۲ مشاهده شد درحالی‌که خود را در یک نوع فایل بسیار عجیب ISO پنهان کرده بود. فایل‌های ISO معمولاً برای انتقال داده‌های کامل یک دیسک نوری مورداستفاده قرار می‌گیرند. این نوع فایل با بار مخربی همراه است و به اعتقاد واحد ۴۲، با استفاده از ابزاری به‌نام Brute Ratel (BRC4) ایجاد شده است. BRC4 نیز به‌نوعی ساخته شده است تا آنتی‌ویروس‌ها نتوانند آن را به‌راحتی تشخیص دهند و این یعنی سازندگان این ابزار، با مهندسی معکوس نرم‌ا‌فزارهای ضدویروس سعی کرده‌اند شناسایی آن را سخت‌تر کنند. Brute Ratel به‌ویژه میان گروه APT29 بسیار محبوب است و همین مورد باعث می‌شود ادعای ارتباط بدافزار جدید به گروه Cozy Bear اعتبار بیشتری پیدا کند.

فایل ISO آلوده وانمود می‌کند که رزومه‌ی کاری شخصی به‌نام Roshan Bandara است و به‌محض ورود به صندوق پستی گیرنده، کاری انجام نمی‌دهد؛ اما با کلیک کاربر روی این فایل، به‌عنوان درایور ویندوز روی سیستم نصب خواهد شد و فایلی به‌نام Roshan-Bandara_CV_Dialog را نمایش خواهد داد. احتمال فریب‌خوردن قربانی دراین مرحله بسیار زیاد است زیرا به‌نظر می‌رسد یک فایل معمولی مایکروسافت ورد است، اما اگر روی آن کلیک کنید، cmd.exe را اجرا و BRC4 را نصب خواهد کرد. وقتی این کار انجام شد، احتمال رخ دادن اتفاق‌های مختلف روی رایانه‌ی شخصی قربانی وجود دارد و نوع این اتقاق‌ها به نیت مهاجم بستگی خواهد داشت.

واحد ۴۲ اشاره می‌کند که یافتن این بدافزار به‌دلایل متعددی نگران‌کننده است زیرا در درجه‌ی اول، احتمال زیادی وجود دارد که این ابزار به گروه APT29 مرتبط باشد. جدا از دلایل اشاره شده در بالا، فایل ISO در همان روزی ایجاد شده است که نسخه‌ی جدید BRC4 منتشر شد. این نکته نشان می‌دهد که مهاجمان سایبری تحت حمایت دولت‌ها می‌توانند با زمان‌بندی دقیق حمله‌های خود، آن‌ها را در مناسب‌ترین زمان مستقر کنند. APT29 در گذشته از فایل‌های ISO مخرب استفاده کرده است و بنابراین به‌نظر می‌رسد همه‌ی نشانه‌ها، در یک راستا قرار دارند.

غیرقابل شناسایی بودن این بدافزار جدید بسیار نگران‌کننده است. برای مخفی کردن یک بدافزار و جلوگیری از شناسایی‌شدن آن ازطریق آنتی‌ویروس‌ها، کار زیادی باید انجام شود و این موضوع نشان می‌دهد، درصورتی‌که این ابزارها به‌دست افراد یا تیم‌هایی که نیت بدی دارند قرار گیرند، تهدیدهایی بسیار مهم خواهند بود.

چگونه می‌توانید ایمن بمانید؟

با توجه به این‌که در سال‌های اخیر، گزارش‌های زیادی درمورد افزایش شدید حمله‌های سایبری منتشر شده است، می‌توان امیدوار بود که بسیاری از کاربران اکنون از خطرهای اعتماد بیش‌ازحد به افراد ناشناس و فایل‌های ارسالی آن‌ها، آگاه‌تر هستند. بااین‌حال، گاهی اوقات این حمله‌ها از منابع غیرمنتظره و به شکل‌های مختلفی انجام می‌شوند. به‌عنوان مثال حمله‌های انکار سرویس توزیع‌شده (DDoS) به دفعات زیاد همیشه اتفاق می‌افتد، اما این نوع حمله‌ها بیشتر برای کاربران سازمانی مشکل‌ساز خواهند بود. گاهی اوقات، نرم‌افزاری که می‌شناسیم و به آن اعتماد داریم می‌تواند به‌عنوان روشی برای فریب‌دادن ما و دانلود ابزارهای مخرب مورد استفاده قرار گیرد. اما در چنین شرایطی که به‌نظر می‌رسد خطر در هرگوشه‌ای درکمین است، چگونه می‌توان ایمن ماند؟

اول از همه، درک این نکته اهمیت زیادی دارد که بسیاری از این حمله‌های سایبری در مقیاس بزرگ و برای هدف قرار دادن سازمان‌ها انجام می‌شوند و بعید است که افراد عادی هدف چنین حمله‌هایی باشند. بااین‌حال، دراین مورد خاص که بدافزار در یک فایل ISO به‌عنوان رزومه‌ی یک شخص پنهان شده، ممکن است کاربران مختلف در سازمان‌های کوچک‌تر نیز آن را باز کنند. کسب‌وکارهای بزرگ‌تر اغلب از واحد فناوری اطلاعات قدرتمندتری برخوردار هستند که اجازه‌ی باز کردن فایل‌های ISO ناشناس را نمی‌دهند.

با درنظر گرفتن موارد اشاره شده، پیروی از یک قانون واقعاً ساده که بسیاری از ما هنوز آن را گاهی فراموش می‌کنیم، ایده‌ی خوبی برای مقابله با بدافزارها است. این قانون ساده می‌گوید: «هرگز پیوست‌هایی که ایمیل‌های ناشناس برای شما ارسال می‌کنند را باز نکنید».

این مورد می‌تواند برای بخش منابع انسانی سازمان‌ها که فعالانه مشغول جمع‌آوری رزومه‌ها هستند، کمی دشوار باشد اما شما به‌عنوان یک فرد می‌توانید این قانون را در زندگی روزمره‌ی خود اجرا کنید. همچنین می‌توانید یکی از بهترین نرم‌افزارهای آنتی‌ویروس موجود را انتخاب و آن را روی سیستم خود نصب کنید. علاوه‌براین برای افزایش سطح امنیت، بهتر است از بازدید وب‌سایت‌هایی که شاید خیلی قانونی به‌نظر نمی‌رسند خودداری و درمورد آدرس‌های ایمیل ناشناس نیز با احتیاط بیشتری عمل کنید.