آلوده شدن آدرس ولت‌های رمزارزی با ClipBanker

این روزها که شاهد رشد استفاده از رمزارزها در سطح جهانی هستیم، مهاجمان سایبری برای ربودن دارایی‌های دیجیتال کاربران دست به استفاده از شیوه‌های جدید و جالب‌تری زده‌اند. هکرها در اقدامی جدید، بدافزار تعویض آدرس کریپتو را در افزونه‌های مایکروسافت آفیس پنهان کرده و از این طریق کاربران را مورد حمله قرار می‌دهند.
به گزارش کمپانی Kaspersky که در حوزه امنیت سایبر فعالیت می‌کند، مهاجمان سایبری، از افزونه‌های جعلی مایکروسافت آفیس آپلود شده در سایت میزبانی نرم‌افزار SourceForge برای این هدف خود استفاده کرده‌اند. با توجه به اهمیت این موضوع، ما این مقاله از بلاگ کیف پول من به بررسی دقیق ماجرای هدف قرار گرفتن رمزارزها از طریق افزونه‌های جعلی آفیس اختصاص داده‌ایم؛ پس با ما همراه باشید. 

آلوده شدن آدرس ولت‌های رمزارزی با ClipBanker

در گزارشی که تیم تحقیقاتی ضد بدافزار مجموعه Kaspersky در تاریخ 8 آوریل منتشر کرد، به طور تفصیلی موضوع هدف قرار گرفتن رمزارزها از طریق افزونه‌های جعلی آفیس مورد توجه قرار گرفت. براساس این گزارش، یکی از فایل‌های مخرب به نام «Officepackage» دارای افزونه‌های واقعی مایکروسافت آفیس بوده؛ اما در پس‌زمینه خود بدافزاری به نام «ClipBanker» را پنهان می‌کند که به دنبال هدف قرار گرفتن رمزارزها از طریق افزونه‌های جعلی آفیس است.
مسئولیت اصلی این بدافزار چیزی جز جایگزین کردن آدرس‌های کیف پول رمزارزی کپی شده در کلیپ‌بورد رایانه با آدرس‌های مهاجم نیست. تجربه نشان داده که عموماً کاربران تمایلی به تایپ آدرس ولت ندارند و به جای تایپ، آدرس‌ها را کپی می‌کنند؛ حال در حالتی که دستگاه به ClipBanker آلوده شده، دارایی‌های دیجیتال شخص قربانی به آدرسی کاملاً غیرمنتظره ارسال خواهد شد!
متاسفانه صفحه این پروژه جعلی کاملاً از یک ابزار توسعه‌دهنده قانونی تقلید می‌کند که افزونه‌های آفیس و دکمه دانلود را نشان داده و حتی در نتایج جستجو نیز ظاهر می‌شود.
از دیگر ویژگی‌های این بدافزار می‌توان به ارسال اطلاعات دستگاه آلوده نظیر آدرس IP، کشور و نام کاربری برای هکرها از طریق تلگرام اشاره کرد. لوگان ابوت (Logan Abbott)، رئیس SourceForge، در مصاحبه اخیر خود ادعا کرد که این بدافزار از میزبانی وب پروژه رایگان به منظور ایجاد یک صفحه وب استفاده می‌کند و به فایل‌هایی که در جای دیگری میزبانی می‌شوند، لینک می‌دهد. رئیس SourceForge معتقد است که هیچ فایل مخربی در SourceForge میزبانی نشده و نقضی نیز صورت نگرفته است!
در راستای هدف قرار گرفتن رمزارزها از طریق افزونه‌های جعلی آفیس، تدابیر امنیتی بیشتری در SourceForge در نظر گرفته شده تا وب‌سایت‌های پروژه با استفاده از میزبانی وب رایگان نتوانند به فایل‌های میزبان خارجی لینک داده شوند. کلیه فایل‌های وب‌سایت اصلی SourceForge برای بررسی عدم وجود بدافزار اسکن می‌شوند و لوگان ابوت توصیه می‌کند که کاربران فایل‌های مدنظر خود را از وب‌سایت اصلی دانلود کنند. 

جزئیات بیشتر از بدافزار کریپتویی افزونه جعلی آفیس

تحلیل‌گران نرم‌افزار در گزارشی که پیرامون هدف قرار گرفتن رمزارزها از طریق افزونه‌های جعلی آفیس منتشر کرده‌اند، این نکته را برجسته نمودند که برخی از فایل‌های موجود در این افزونه جعلی، بسیار کم حجم هستند و همین موضوع را باید به عنوان یک رد فلگ و زنگ خطر به شمار آورد! چراکه کلیه فایل‌های مربوط به برنامه‌های آفیس حتی در صورت فشرده‌سازی، باز هم در این سطح کم حجم نخواهند بود.
فایل‌های دیگر نیز با برخی از داده‌های بی‌ارزش پر شده‌اند تا به مخاطب چنین القا شود که با نصب یک نرم‌افزار واقعی طرف هستند. بنا به گفته کمپانی کسپرسکی، مهاجمان حملات سایبری با دست‌آویز قرار دادن شیوه‌های متعدد که برخی از آن‌ها نامتعارف است، تلاش می‌کنند تا دسترسی خود به سیستم آلوده را به شکل پایدار حفظ کنند.

هدف قرار گرفتن رمزارزها از طریق افزونه‌های جعلی آفیس

حمله بدافزار عمدتاً با استقرار یک ماینر و ClipBanker صورت می‌پذیرد که ارزهای دیجیتال را هدف قرار می‌دهد. البته نکته جالب‌تر ماجرا اینجاست که مهاجمان سایبری می‌توانند دسترسی به سیستم آلوده را به بازیگران خطرناک‌تری نیز بفروشند! این رابط به زبان روسی بوده و به نظر می‌رسد که هدف اصلی آن، کاربران روسی زبان هستند.
دورسنجی و تله‌متری تحلیل‌گران نشان می‌دهد که 90 درصد از قربانیان احتمالی ساکن در روسیه هستند؛ جایی که حدود 4604 ماربر بین تاریخ اوایل ژانویه تا اواخر مارس این بدافزار را نصب کرده‌اند. بهترین راهکار برای جلوگیری از قربانی شدن در چنین طرح‌هایی و فاصله گرفتن از موضوعاتی مثل هدف قرار گرفتن رمزارزها از طریق افزونه‌های جعلی آفیس، دانلود و نصب نرم‌افزارها از منابع مطمئن است.
در واقع، از آنجایی که کاربران به دنبال راه‌هایی برای دانلود برنامه‌ها خارج از منابع رسمی هستند، مهاجمان سایبری نیز از همین مسیر برای توزیع بدافزارهای خود کمک می‌گیرند و استفاده از بدافزار در سرقت دارایی‌های دیجیتال، امر جدیدی نیست. با گذشت زمان، مهاجمان به سمت قانونی جلوه دادن نرم‌افزارهای خود حرکت کرده‌اند و به همین علت این روزها شاهد هشدارهای زیادی درباره اشکال جدید بدافزارها هستیم.
به عنوان مثال، Threat Fabric در گزارش جدید خود که در تاریخ 28 مارس منتشر کرد، اعلام نمود که خانواده جدیدی از بدافزارها را کشف کرده است. این بدافزارها می‌توانند در یک پوشش فیک و جعلی راه‌اندازی شده و کاربران اندرویدی را فریب دهند تا عبارات بازیابی کیف پول کریپتویی را در حین کنترل دستگاه، ارائه کنند.

مطلب پیشنهادی:  حمله سیبل (Sybil Attack) چیست؟

نحوه کار ClipBanker در سرقت دارایی‌های کریپتویی

اگر همچنان هدف قرار گرفتن رمزارزها از طریق افزونه‌های جعلی آفیس برای شما امری مبهم است، کافیست به شیوه کار بدافزار ClipBanker دقت کنید:
ClipBanker با تماشای کلیپ‌بورد رایانه به فعالیت خود ادامه می‌دهد و زمانی که شخص آدرس ولت رمزارزی را کپی می‌کند، این بدافزار آدرس کپی شده را با آدرس دیگری که متعلق به مهاجم است، تعویض می‌کند. در صورتی که کاربر متوجه نشود و انتقال صورت گیرد، در این حالت رمزارزهای انتقال داده شده به جای ولت گیرنده به ولت هکر منتقل می‌شود.
جالب است بدانید که در برخی موارد، ClipBanker یک ماینر کریپتویی نصب می‌کند تا از دستگاه آلوده قربانی برای استخراج رمزارزها به نفع مهاجمان سایبری استفاده کند. از طرفی فروخته شدن اطلاعات به دست آمده از طریق این حمله می‌تواند سوءاستفاده‌های جدی‌تری را نیز در پی داشته باشد.

افزونه‌های جعلی آفیس؛ بستری جدید برای سرقت از هولدرهای کریپتو

هدف قرار گرفتن رمزارزها از طریق افزونه‌های جعلی آفیس موضوع جدیدی بوده که دارای اثرات مخربی است و باید بیشتر از قبل به صیانت از امنیت دستگاه خود توجه داشته باشید. طبیعتاً زمانی که وارد دنیای کریپتو شدید، دیگر باید از دانلود و نصب برنامه‌ها از منابع غیررسمی خودداری کنید؛ چراکه ممکن است یک بدافزار کنترل دستگاه را به دست گرفته و حتی با نشان دادن صفحه جعلی شما را مجبور به وارد کردن عبارات بازیابی ولت رمزارزی‌تان کند! نظر شما درباره هدف قرار گرفتن رمزارزها از طریق افزونه‌های جعلی آفیس چیست؟ به نظر شما با چه راهکارهایی می‌توان از تهدیدات این حملات سایبری در امان ماند؟ نظرات خود را برای ما بنویسید.