بدافزار DNS-Hijacking کاربران iOS، اندروید و دسکتاپ را در سراسر جهان مورد هدف قرار میدهد
روترهای گسترده بدافزارDNS-Hijacking که قبلا پی برده شد که دستگاههای اندروید را مورد هدف قرار میدهند، اکنون با توسعه ویژگیهای آنها دستگاههای iOS و کاربران دسکتاپ را نیز مورد هدف حمله قرار میدهند. در ماه گذشته بدافزاری با نام Roaming Mantis کشف شد که از طریق حمله DNS-Hijacking و طراحی بدافزار بانکی اندرویدی به دزدیدن اطلاعات لاگین و کد امنیتی دو فاکتوری احراز هویت کاربران میپردازد. به گفته محققان امنیتی در آزمایشگاههایKaspersky، گروه جنایی در پشت Roaming Mantis، اهداف خود را با اضافهکردن حملات فیشینگ برای دستگاههای iOS و اسکریپت کاوش ارز دیجیتال برای کامپیوترهای کاربران گسترش دادهاند. علاوه بر این، در حالی که حملات اولیه برای هدف قرار دادن کاربران از جنوب شرق آسیا از جمله کره جنوبی، چین، بنگلادش و ژاپن طراحی شده بود، این کمپین جدید اکنون از 27 زبان برای گسترش عملیات خود برای آلوده کردن کاربران در سراسر اروپا و خاورمیانه پشتیبانی میکند. بدافزار Roaming Mantis چگونه کار میکند مشابه نسخه قبلی، نسخه جدید بدافزار نیز با DNS-Hijacking گسترش یافته است که مهاجمان تنظیمات DNS روترهای بیسیم را برای هدایت کردن ترافیک به سمت وبسایتهای مخرب کنترل شده توسط خودشان تغییر میدهند. بنابراین هر زمان که کاربران از طریق یک روتر آسیب دیده قصد اتصال به وبسایتی داشته باشند، به وبسایتهای آلوده هدایت میشوند که موارد زیر را فراهم میکند: • برنامههای جعلی با بدافزارهای بانکی برای کاربران اندروید • سایتهای فیشینگ برای کاربران iOS • سایتهایی با اسکریپت کاوش ارز دیجیتال برای کاربران دسکتاپ محققان میگویند: «پس از آنکه کاربر (اندروید) به سایت مخرب هدایت شد، از او خواسته میشود که مرورگر (برنامه) را بهروز کند. این باعث میشود که یک برنامه مخربی با نام chrome.apk دانلود شود (نسخه دیگری نیز به نام facebook.apk وجود دارد)». پس از نصب، مهاجمان میتوانند با استفاده از 19 فرمان ایجاد شده در «در پشتی»، از جمله sendSms، setWifi، gcont، lock، onRecordAction، call، get_apps، ping و غیره دستگاههای آلوده اندروید را کنترل کنند. اگر قربانیان دستگاه iOS داشته باشند، بدافزار کاربر را به یک وبسایت فیشینگ هدایت میکند که وبسایت اپل را تقلید کرده و ادعا میکند که security.app.com است و از کاربران میخواهد شناسه کاربری، رمز عبور، شماره کارت، تاریخ انقضای کارت خود و شماره CVV را وارد کنند. علاوه بر سرقت اطلاعات حساس از دستگاههای اندرویدی و iOS، محققان دریافتند که Roaming Mantis یک اسکریپت کاوش ارز دیجیتال مبتنی بر مرورگر را از CoinHive بر روی هر صفحه فرود (landing page) تزریق میکند؛ اگر بازدید از طریق مرورگرهای دسکتاپ برای کاوش Monero انجام شود. محققان معتقدند که با توجه به تواناییهای جدید و رشد سریع این کمپین کسانی که پشت آن هستند، انگیزه مالی قوی دارند و احتمالا به خوبی تامین مالی میشوند. در اینجا چگونگی محافظت از خود در برابر Roaming Mantis آورده شدهاست: برای محافظت از خود در برابر چنین نرمافزارهای مخربی، توصیه میشود مطمئن شوید که روتر شما آخرین نسخه میانافزار را اجرا میکند و با یک رمز عبور قوی محافظت میشود. از آنجا که کمپین هک از سرورهای DNS تحت کنترل مهاجم برای خرابکاری در دامنههای قانونی استفاده میکند و کاربران را به فایلهای قابل دانلود مخرب هدایت میکند، توصیه میشود که مطمئن شوید سایتهایی که بازدید میکنید، دارای HTTPS فعال هستند. شما همچنین باید ویژگی مدیریت از راه دور (remote administration) روتر خود را غیرفعال کنید و یک سرور DNS قابل اعتماد را به تنظیمات شبکه سیستمعامل متصل کنید. به کاربران دستگاه اندرویدی، همیشه توصیه میشود برنامهها را از فروشگاههای رسمی نصب کنند و نصب برنامهها را از منابع نامشخص بر روی گوشیهایهوشمند خود با رفتن به مسیر تنظیمات ← امنیت ← منابع ناشناس (Settings → Security → Unknown sources) غیرفعال کنند. برای بررسی اینکه آیا روتر Wi-Fi شما در حال حاضر به خطر افتاده است، تنظیمات DNS خود و آدرس سرور DNS را بررسی کنید. اگر تنظیمات با چیزی که ارائهدهنده سرویس فراهم کردهاست، مطابقت ندارد، آن را به مقدار درست قبلی تغییر دهید. همچنین تمام گذرواژههای حساب کاربری خود را بلافاصله تغییر دهید.
مرکز ماهر
دانشگاه کردستان