به گزارش زوم ارز، به گفته یک مهندس امنیت سایبری، هکرها در حال تمام تلاش برای دزدیدن داراییهای ارز دیجیتال کاربران Zoom از طریق یک طرح پیچیده توزیع بدافزار مبتنی بر فیشینگ میباشند.
برای اطلاع از تمامی اخبار کانال تلگرام ما را دنبال کنید
در یک توییت اخیر در ابتدای هفته، یک مهندس امنیت سایبری با نام مستعار NFT_Dreww.eth توجه را به طرح جدیدش جلب کرد. او اظهار کرد که کلاهبرداران هر روزه مختصر و پرزحمت تر میشوند و روشهای تقلب خود را به گونههای جدیدی تطویر دادهاند، که در صورت فعالسازی، همه اطلاعات شما را به دست میآورند. او ادعا کرد که بیش از ۳۰۰ هزار دلار تا کنون از دست آنها رفته است.
مجرمان به طور معمول از فرصتهای ایجاد شده برای نزدیک شدن به قربانیان پتانسیل استفاده میکنند. به عنوان مثال، آنها ممکن است ادعا کنند که به دنبال مجوز مالکیت معنوی از قربانی هستند، آنها را به عنوان مهمان در فضای توییتر دعوت کنند یا از آنها بخواهند که سرمایهگذاران فرشته باشند و یا به تیم پروژه خود بپیوندند.
سپس آنها تاکید میکنند که درباره این فرصت از طریق Zoom صحبت کنند. این فرصت برای کلاهبرداران فرصتی ایجاد میکند تا پیوند مخرب را با دیگران به اشتراک بگذارند. مهاجمان همچنین از تاکتیکهای فشار بالا استفاده میکنند، از جمله ارسال یک عکس از یک تماس زوم که پر از افرادی است که منتظر قربانی هستند.
حتی اگر فرد Zoom را نصب کرده باشد، صفحه ابتدایی که ظاهر قانونی دارد و خواستار بارگیری هنگام دانلود فایل ZoomInstallerFull.exe است، در واقع از بدافزار استفاده میکند. این بدافزار خود را به عنوان یک نصب کننده Zoom در اختیار قربانیان قرار میدهد و آنها را وادار به پذیرش شرایط و ضوابطی میکند که کاربران ویندوز هنگام نصب نرمافزارهای جدید عادت دارند آن را مشاهده کنند.
وقتی نصب کامل شد، صفحه بارگیری تماس همچنان چرخ میخورد تا زمانی که کاربر به وبسایت جعلی Zoom منتقل شود. درو به این استنباط رسید که این کار به منظور ایجاد تردید در کاربر انجام شده است تا به نظر برسد مشکلی رخ داده یا بارگذاری همیشگی زمان ببرد. زمانی که این اتفاق افتاد، بدافزار قبلی اجرا شده بوده و عملکرد خود را کامل کرده بود.
هنگامی که فایل اجرا میشود، بدافزار بلافاصله اقدام به اجرا میکند و خود را در لیست محرومیتهای Windows Defender قرار میدهد، که باعث میشود ویندوز قادر به مسدود کردن آن نشود. در این مرحله، بدافزار شروع به اجرای محموله خود و استخراج اطلاعات کاربر میکند، در حالی که قربانی منتظر صفحه تماس ویدیویی است و شرایط و ضوابط وانمودی را میپذیرد.
درو تاکید کرد که در این مورد، نرم افزارهای تشخیص ویروس ممکن است نتوانند این نوع بدافزار را شناسایی کنند.
هنگامی که با بدافزار به این اندازه مشغول هستید، اغلب ابزارهایی همچون ویروس توتال نمیتوانند آن را شناسایی کنند. این ابزارها تنها به عنوان یک فاکتور بررسی استفاده میشوند و نباید به عنوان منبع اطمینانی در نظر گرفته شوند. واقعیت این است که ویروس توتال بسیار موثر است، اما اگر نیازهای ویژهی خود را در نظر نگیرید، ممکن است به شما آسیب برساند.
Artem Irgebaev, یک تریگر قرارداد هوشمند در شرکت Immunefi است و در گفتگو با Decrypt تأکید کرد که به اثربخشی آنتی ویروس بستگی دارد که آیا بدافزار قبل از ارسال به هدف رمزگذاری شده است یا خیر. او بیان کرد که در بیشتر موارد، این مسئله تأثیرگذار نیست، زیرا افرادی که حملات خود را طراحی میکنند، بدافزارهای خود را پیش از هدف گیری رمزگذاری میکنند تا جلوی شناسایی آنها را بگیرند.
Sudipan Sinha، کارآفرین اصلی در RiskLayer و CEO شرکت Chainrisk Labs، تأکید دارد که استناد به نرم افزارهای آنتی ویروس نقصهایی دارد. او توضیح داده است که اکسپلویتهای روز صفر، که برای پایگاه دادههای آنتی ویروس کاملاً جدید و نامعلوم هستند، چالش مهمی ایجاد میکنند.
علاوه بر این، نرمافزارهای آنتیویروس قادر به مقابله با تاکتیکهای مهندسی اجتماعی که به کاربران فرصت دانلود بدافزار را میدهند، نمیباشند. بنابراین، هر چند که وجود یک نرمافزار آنتیویروس امری بسیار حیاتی برای حفاظت از امنیت سایبری است، اما مقابله کارآمد با حملات پیچیده نیازمند اقدامات امنیتی گستردهتر و آگاهی کاربران است.
پیوندهای بزرگنمایی واقعی منابع و موارد مختلف هستند.
پیوندهای درگیر در این کمپین فیشینگ شبیه به پیوندهای قانونی زوم هستند، همانطور که Drew شرح داده است. به عنوان مثال، Zoom از دامنه zoom.us و زیر دامنهها بر اساس موقعیت جغرافیایی استفاده میکند، به طوری که یک کاربر مستقر در ایالات متحده ممکن است به us02web.zoom.us منتقل شود.
لینکهای مخرب گاهی از زیر دامنه us50web.us برای بزرگنمایی دامنه استفاده میکنند، از سوی دیگر. به عنوان مثال، Drew به دامنه us50web-zoom.us اشاره میکند، که از زیردامنه zoom.us50web.us مشتق شده است. در نگاه اول، ممکن است zoom.us50web.us به نظر معقول بیاید، به واسطه طرح نامگذاری گیجکننده دامنهها و زیردامنههای Zoom که در اینجا به کار رفته است.
او توضیح داد: «بسیار مهم است که بدانید «-» چیزی را به یک دامنه فرعی تبدیل نمیکند، این بخشی از یک دامنه سطح بالاست که افراد زیادی را فریب میدهد.
درو تکیه بیشتر بر اهمیت آن تأکید داشت که حتما باید توجه کافی را به خود جلب کنید تا از حملات فنی مانند حملات مهندسی اجتماعی جلوگیری کنید.
نتیجهی یافته شد که: “در این زمینه بسیار ساده است… شک دارم که ۸۰ درصد افراد، هر نوع پیوندی که ارسال میشود را تأیید میکنند، به ویژه پیوندهای مربوط به زوم”. به همین ترتیب، Irgebaev به یادآوری کرد که “استفاده از یک دامنهی زوم جعلی بسیار به خلاقیت میانجامد و باعث افزایش تعداد افرادی میشود که احتمالا به بدافزار دامنه خورده و آن را دانلود میکنند”.
رمزنگاری جرم یک موضوع قدیمی است و نوآوری جدیدی نبوده است.
همانطور که در اوایل این هفته گزارش شده بود، ارزیابی جدیدتر در خصوص تهدیدات جرایم سازمانیافته در فضای اینترنتی توسط یوروپل نشان داد که جرایم مربوط به رمزنگاری همچنان در حال تکامل و گسترش میباشند. به طور اضافه، تحقیقات اخیر نشان دادهاند که با توجه به اینکه استفاده از رمزنگاری و تأکید بر حفظ حریم خصوصی به طور غیرمتمرکز بهخوبی انجام میشود، وضعیت بحرانیتر میشود.
نویسندگان ذکر کردند که تمرکززدایی، فناوری بلاکچین و شبکههای P2P همچنان فرصتهایی برای افرادی که در جرایم سایبری فعالیت میکنند، فراهم میکنند. این فناوریها با امکان انجام تراکنشهای ناشناس و دور از نظر مقامات، روند انجام جرائم را آسانتر میکنند.
منبع: decrypt.co
بیشتر بخوانید
source