بدافزار در افزونههای آفیس رمزارزها را هدف قرار داد:
🔹مایکروسافت هشدار داده است که افزونههای جعلی آفیس که از طریق ایمیل یا وبسایتهای مشکوک توزیع میشوند، میتوانند حاوی بدافزارهایی باشند که با هدف سرقت رمزارز طراحی شدهاند. این بدافزارها پس از نصب، آدرسهای کیف پول رمزارزی که کاربر در کلیپبورد کپی میکند را شناسایی کرده و به طور خودکار با آدرسهای متعلق به مهاجمان جایگزین میکنند. این حملات در حالی افزایش یافتهاند که کاربران بسیاری بدون بررسی منبع، اقدام به نصب افزونههایی با ظاهر رسمی میکنند.
🔹محققان امنیت سایبری تأکید دارند که یکی از روشهای مؤثر مقابله با این تهدیدات، استفاده از نرمافزارهای امنیتی بهروز و خودداری از دانلود و نصب فایلها از منابع ناشناس است. همچنین به کاربران توصیه میشود همواره آدرسهای رمزارز را قبل از ارسال وجه دوباره بررسی کنند.
به گفته شرکت امنیت سایبری Kaspersky، بازیگران مخرب در تلاش برای سرقت رمزنگاری با بدافزار تعبیه شده در پسوندهای جعلی مایکروسافت آفیس آپلود شده در سایت میزبانی نرم افزار SourceForge هستند.
تیم تحقیقاتی ضد بدافزار کسپرسکی در گزارشی در 8 آوریل گفت که یکی از فهرستهای مخرب به نام «officepackage» دارای افزودنیهای واقعی مایکروسافت آفیس است اما بدافزاری به نام ClipBanker را پنهان میکند که آدرس کیف پول رمزنگاریشده کپیشده در کلیپبورد رایانه را با آدرس مهاجم جایگزین میکند.
این تیم گفت: «کاربران کیف پولهای رمزنگاری معمولاً به جای تایپ آدرسها را کپی میکنند. اگر دستگاه به ClipBanker آلوده شود، پول قربانی در جایی کاملاً غیرمنتظره تمام میشود.» صفحه پروژه جعلی در SourceForge از صفحه ابزار توسعهدهنده قانونی تقلید میکند، افزونههای آفیس و دکمههای دانلود را نشان میدهد و همچنین میتواند در نتایج جستجو ظاهر شود.
کسپرسکی گفت یکی دیگر از ویژگی های زنجیره آلودگی این بدافزار شامل ارسال اطلاعات دستگاه آلوده مانند آدرس IP، کشور و نام کاربری برای هکرها از طریق تلگرام است. این بدافزار همچنین میتواند سیستم آلوده را برای نشانههایی که قبلاً نصب شده است یا نرمافزار آنتیویروس اسکن کرده و خود را حذف کند.
مهاجمان می توانند دسترسی سیستم را به دیگران بفروشند
به نقل از کوین تلگراف کسپرسکی میگوید برخی از فایلهای دانلود جعلی کوچک هستند، که باعث ایجاد «پرچمهای قرمز» میشود، زیرا برنامههای آفیس هرگز آنقدر کوچک نیستند، حتی در صورت فشردهسازی. سایر فایلها با مواد ناخواسته پر شدهاند تا کاربران را متقاعد کند که به دنبال نصب نرمافزار اصلی هستند. این شرکت گفت مهاجمان از طریق روشهای متعدد، از جمله روشهای غیر متعارف، دسترسی به سیستم آلوده را ایمن میکنند.
