تحلیلگران امنیتی نسبت به موج جدیدی از بدافزارها هشدار دادهاند که در قالب نسخههای جعلی نرمافزار محبوب WinRAR منتشر میشوند. این فایلهای مخرب که عمدتا از طریق وبسایتهای چینی توزیع میشوند، در ظاهر حاوی نصبکننده واقعی هستند اما همزمان بدافزارهایی را نیز بهصورت پنهانی روی دستگاه قربانی اجرا میکنند.
بررسی یکی از این نمونهها که با نام winrar-x64-713scp.zip منتشر شده بود، نشان داد ساختار آن لایهلایه و پیچیده است. فایل اجرایی موجود در این بسته، با استفاده از تکنیکهایی مانند فشردهسازی UPX و بایگانیهای خوداجرا (SFX)، دو برنامه را بدون اطلاع کاربر بهصورت همزمان اجرا میکند.
در این نمونه، یکی از فایلهای اجراشده نسخه واقعی نصب WinRAR بود که با هدف کاهش شک کاربران گنجانده شده است. اما فایل دیگر پس از باز شدن در حافظه، فایلی به نام setup.hta را اجرا میکرد که در نهایت منجر به استخراج بدافزاری با نام شناختهشده nimasila360.exe میشد؛ فایلی مرتبط با بدافزار چینی Winzipper که پیشتر نیز در کارزارهای مشابه دیده شده است.
Winzipper یک برنامه مخرب است که خود را به شکل نرمافزار فشردهسازی معمولی جا میزند اما در واقع یک در پشتی (backdoor) روی سیستم قربانی باز میکند تا مهاجمان بتوانند به اطلاعات شخصی دسترسی یابند، دادهها را سرقت کنند یا بدافزارهای دیگری نصب نمایند.
این نوع حملات معمولا متناسب با سیستم هدف عمل میکنند و با تجزیه و تحلیل اولیه، بدافزار متناسب را برای نصب انتخاب میکنند. دسترسی به دادههای حساس کاربران مانند اطلاعات پروفایل ویندوز از نخستین گامهای این بدافزارهاست.
چگونه خود را محافظت کنیم؟
کارشناسان توصیه میکنند:
- نرمافزارها را فقط از منابع رسمی و معتبر دانلود کنید.
- از کلیک روی لینکهای ناشناس در شبکههای اجتماعی، ایمیلها یا وبسایتهای ناآشنا پرهیز کنید.
- حتما از راهکارهای ضدبدافزار بهروز و دارای محافظت لحظهای استفاده کنید.
کاربران باید توجه داشته باشند که عجله در یافتن و نصب نرمافزار، میتواند هزینه سنگینی در پی داشته باشد.
توضیحات بیشتر: