EN
 

گسترش خطرناک یک بدافزار ویندوزی در پوشش ابزارهای کاربردی و بازی‌های رایانه‌ای

  1. سرتفا »
  2. آخرین خبرها »
  3. بدافزارها
۲۶ فروردین ۱۴۰۵

پژوهشگران امنیتی به‌تازگی از شناسایی یک بدافزار مخرب و چندمنظوره به نام NWHStealer خبر داده‌اند که با استفاده از شیوه‌های فریبنده و گسترده، کاربران سیستم‌عامل ویندوز را هدف قرار داده است. این بدافزار که اطلاعات سرقت می‌کند، خود را در قالب نرم‌افزارهای محبوبی نظیر ابزارهای تغییر آی‌پی، مودهای بازی و برنامه‌های پایش سخت‌افزار پنهان می‌کند تا راه خود را به سیستم قربانیان باز کند.

بر اساس گزارش‌های منتشر شده، مهاجمان برای توزیع این بدافزار از پلتفرم‌های معتبری مانند گیت‌هاب، سورس‌فورج و حتی وب‌سایت‌های جعلی که شباهت بسیاری به نسخه‌های اصلی دارند، سوءاستفاده می‌کنند. برای مثال، یکی از کارزارهای فعال با ایجاد یک وب‌سایت جعلی مشابه سرویس پروتون وی‌پی‌ان، کاربران را تشویق به دانلود فایل‌های آلوده می‌کند. 

همچنین استفاده از ویدیوهای ساخته شده با هوش مصنوعی در یوتیوب که مراحل نصب این برنامه‌های مخرب را آموزش می‌دهند، از دیگر ترفندهای پیچیده برای جلب اعتماد کاربران عنوان شده است.

عملکرد NWHStealer پس از ورود به سیستم بسیار پنهان‌کارانه است. این بدافزار ابتدا محیط دستگاه را بررسی می‌کند تا مطمئن شود توسط ابزارهای تحلیل امنیتی شناسایی نمی‌شود. در صورت امن بودن محیط برای فعالیت مخرب، بدافزار با استفاده از تکنیک‌های تزریق کد، خود را در فرایندهای سیستمی ویندوز مانند RegAsm پنهان می‌کند. این بدافزار به‌طور ویژه برای سرقت داده‌های حساس طراحی شده است و می‌تواند اطلاعات ذخیره‌شده در مرورگرها شامل گذرواژه‌ها، تاریخچه جست‌وجو و همچنین اطلاعات بیش از ۲۵ مدل از کیف پول‌های رمز‌ارزی را شناسایی و استخراج کند.

یکی از ویژگی‌های نگران‌کننده این بدافزار، توانایی آن در دور زدن مکانیزم‌های امنیتی ویندوز است. NWHStealer با استفاده از فرمان‌های پاورشل، پوشه‌های مخفی ایجاد کرده و آن‌ها را در لیست استثناهای آنتی‌ویروس پیش‌فرض ویندوز قرار می‌دهد تا از اسکن‌های دوره‌ای در امان بماند. علاوه بر این، بدافزار مذکور با تزریق فایل‌های DLL به فرآیند مرورگرهایی نظیر گوگل کروم، مایکروسافت اج و فایرفاکس، اطلاعات را پیش از ارسال به سرور فرماندهی، رمزگذاری می‌کند.

کارشناسان امنیت سایبری هشدار می‌دهند که این بدافزار حتی در صورت مسدود شدن سرورهای اولیه، قادر است آدرس‌های جدید خود را از طریق کانال‌های تلگرامی دریافت کرده و به فعالیت خود ادامه دهد. با توجه به دامنه گسترده توزیع این بدافزار در انجمن‌های بازی و پلتفرم‌های اشتراک‌گذاری فایل، به کاربران توصیه می‌شود که نرم‌افزارهای خود را تنها از منابع رسمی دریافت کرده و از کلیک بر روی لینک‌های مشکوک در توضیحات ویدیوهای یوتیوب یا سایت‌های غیرمعتبر خودداری کنند.

توضیحات بیشتر:

From fake Proton VPN sites to gaming mods, this Windows infostealer is everywhere

بدافزار

به اشتراک بگذارید

بازگشت به بالا

سرقت اطلاعات ۲۰ هزار کاربر گوگل و تلگرام از طریق ۱۰۸ افزونه کروم