امنیت و هک

آشنایی با بدافزار RedLine و فریب کاربران ویندوز

بدافزار RedLine
  • کاربران ویندوز 10 باید مراقب نصب‌گرهای تقلبی ویندوز 11 که در حال گسترش هستند باشند. زیرا امکان دارد که یک بدافزار رمز دزد را نصب کنند.

با این‌که بدافزار RedLine یک بدافزار پیچیده غیرمعمول محسوب نمی‌شود، اما می‌تواند گذرواژه‌ها را بدزدد و به‌شکل خدمات اینترنتی به قیمت 150 دلار در ماه به فروش برساند. درواقع  درنهایت این فرایند افراد ذی‌نفع رمزهای کیف پول‌های دیجیتال کاربران را به سرقت می‌برند.

کلاهبرداران از حقه‌های مختلف استفاده می‌کنند تا از کسانی که آگاهی کافی ندارند، سوء‌استفاده و آن‌ها را با نصب این بدافزار فریب دهند. آن‌ها برای فریب کاربران ویندوز 10 این امر را با ایجاد فایل‌های قلابی نصب‌کننده ویندوز 11 انجام می‌دهند.

شرکت مایکروسافت میزان سخت‌افزار مورد نیاز برای اجرای ویندوز 11 را بسیار سخت‌گیرانه در نظر گرفت و این نسخه از ویندوز نیازمند یک پردازنده بسیار جدید است. در اوایل کار، دستگاه‌های کمی می‌توانستند از ویندوز 11 پشتیبانی کنند، اما پس از میزان تقاضای بالای کاربران ،‌مایکروسافت تصمیم گرفت که دستگاه‌های بیشتری را با سرعت بالاتری پوشش دهد.

درخصوص این بدافزار، نفوذگران تلاش کردند تا از اعلامیه 26 ژانویه مایکروسافت بهره‌برداری کنند و دامنه حاوی بدافزار را روز پس از اعلامیه راه‌اندازی کردند.

در ضمن اگر به‌دنبال راهکارهایی، برای بالابردن امنیت کامپیوتر خود هستید میتوانید مقاله‌ی ما؛ امنیت کامپیوتر شخصی و روش‌های بهبود آن را مطالعه کنید.

یافته‌های مهم درباره بدافزار RedLine

محققان امنیتی HP یافتند که افراد پشت‌صحنه بدافزار RedLine با این امید که کاربران ویندوز 10 را به دانلود نصب‌کننده قلابی ویندوز 11 فریب دهند، یک دامنه قلابی را ثبت کرده‌اند. این مهاجمین، طرح وب‌سایت قانونی ویندوز 11 را جعل کردند. سپس کاربران با کلیک روی دکمه دانلود به‌جای دانلود نصب‌کننده قانونی، یک فایل زیپ مشکوک را بارگیری می‌کردند.

بنا بر اظهارات یک محقق امنیتی برجسته  HP: این نام دامنه توجه ما را به چندین دلیل جلب کرد: به‌تازگی ثبت شده بود، یک برند قانونی را جعل کرده و از یک اعلامیه جدید بهره‌برداری می‌کرد. مهاجمین اصلی، از این دامنه برای گسترش بدافزار RedLine سود می‌بردند، RedLine بدافزار رمزدزد است که در محافل زیرزمینی بسیار محبوبیت دارد.

دامنه مرتبط با این بدافزار در یک بنگاه روسی ثبت شد، اما صفحه قانونی بارگیری یا دانلود ویندوز 11 در دامنه Microsoft.com قرار دارد. این بدافزار تلاش می‌کند تا رمزهای عبور ذخیره‌شده در مرورگرها یا اطلاعات ثبت‌شده خودکار، شماره کارت‌های بانکی یا کیف پول‌های رمزارز را به سرقت ببرد.

حقه‌ی فشرده‌سازی

درحالی‌که مایکروسافت مشغول اصلاح و منظم‌تر کردن روند ارتقای ویندوز بود (مانند کوچک‌کردن حجم به‌روزرسانی‌ها)، مجرمین در این مورد کاملاً دست مایکروسافت را از پشت بسته و یک نصب‌کننده کوچک یک مگابایتی ایجاد کردند که پس از استخراج تبدیل به یک پرونده عظیم 753 مگابایتی می‌شود. این امر موجب حیرت محققان HP شد.

همان محقق می‌گوید‌: «از آنجا که اندازه فشرده‌شده پرونده زیپ تنها یک مگابایت بود. به معنای آن است که نرخ فشرده‌سازی عالی به‌مقدار 99.08 درصد دارد.  این نرخ از میانگین نرخ فشرده‌سازی فایل‌های اجرایی که 47 درصد می‌باشند، بیشتر است».

او همچنین یادآور شد که استفاده از یک کد بایت 0x30 در قسمت فیلتر فایل تنها برای مخفی ماندن از چشم ضدویروس‌هاست.

او افزود: «یکی از دلایلی که مهاجمین چنین فضای فیلتری را به وجود آورده‌اند (و درنتیجه فایل را بسیار بزرگ کرده‌اند) این است که فایل‌های با این حجم ممکن است به‌وسیله ضدویروس‌ها و دیگر ابزارهای امنیتی اسکن نشوند. در نتیجه باعث موفق‌بودن بدافزار در اجرا و آلوده‌کردن سیستم شوند».

این حقه ویندوز 11 یکی از روش‌های عادی مهاجمین RedLine محسوب می‌شود. آن‌ها یک بدافزار ساده اما مخرب ساخته‌اند که افراد غیرفنی نیز می‌توانند استفاده کنند. در ماه دسامبر همین بدافزار از محبوبیت برند دیسکورد Discord برای گسترش خود سود برد.

محققین HP یادآور شدند: «از آنجا که چنین پویش‌هایی معمولاً متکی بر دانلود به‌وسیله کاربران ناآگاه است، افراد می‌توانند با بارگیری نرم‌افزار از روش‌های قانونی و مطمئن از چنین آلودگی‌هایی جلوگیری کنند».

مطالب مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.