Preloader

تله‌ی رمز عبور»: چگونه نسخه جعلی KeePass راه باج‌افزارها را باز کرد؟

تله‌ی رمز عبور»: چگونه نسخه جعلی KeePass راه باج‌افزارها را باز کرد؟

تله‌ی رمز عبور»: چگونه نسخه جعلی KeePass راه باج‌افزارها را باز کرد؟

یک حادثه امنیتی واقعی نشان داد که حتی نیت خوب برای حفظ امنیت اطلاعات، در صورت سهل‌انگاری، می‌تواند فاجعه‌بار باشد. یکی از کارکنان یک سازمان قصد داشت از رمزهای عبورش محافظت کند و به همین دلیل تصمیم گرفت برنامه KeePass را نصب کند. اما به‌جای مراجعه به وب‌سایت رسمی، به دام یک سایت جعلی افتاد.

KeePass تقلبی چه می‌کرد؟

مهاجمان نسخه‌ای از KeePass را ایجاد کرده بودند که در ظاهر کاملاً طبیعی عمل می‌کرد. اما در واقع:

    تمام رمزهای عبور ذخیره‌شده را به‌صورت متنی و بدون رمزنگاری روی سیستم قربانی ذخیره می‌کرد.

    ابزار Cobalt Strike را نصب می‌کرد؛ ابزاری قدرتمند که هم در تست نفوذ و هم در حملات واقعی به‌کار می‌رود.

    از طریق این ابزار، مهاجمان توانستند سیستم‌های بیشتری را آلوده کرده و در نهایت سرورهای سازمان را رمزگذاری کنند.

کمپین مخفیانه با ظاهری قانونی

این کمپین از اواسط ۲۰۲۴ آغاز شد و حدود هشت ماه ادامه داشت. مجرمان:

    وب‌سایت‌هایی با نام‌هایی چون keeppaswrd، keebass و KeePass-download طراحی کرده بودند.

    از تبلیغات آنلاین یا مال‌ورتایزینگ (malvertising) برای جذب کاربران استفاده می‌کردند.

    بسته‌های جعلی را با گواهی دیجیتال معتبر امضا کرده بودند، تا سیستم عامل یا آنتی‌ویروس‌ها هشدار ندهند.

بدافزار درون کد اصلی

برخلاف حملات رایج که فقط فایل‌های اضافی مخرب به نصب‌کننده اضافه می‌کنند، در اینجا:

    کد مخرب در منطق اصلی برنامه پنهان شده بود.

    فقط زمانی فعال می‌شد که کاربر پایگاه داده KeePass را باز می‌کرد.

    رفتار برنامه تا آن لحظه کاملاً عادی بود؛ دقیقاً مانند نسخه رسمی.

هدف فقط KeePass نبود

بررسی‌ها نشان داد که مهاجمان نرم‌افزارهای قانونی دیگری مانند WinSCP و ابزارهای رمزنگاری را نیز دستکاری کرده‌اند. در برخی موارد، آن‌ها بدافزار شناخته‌شده‌ای به نام Nitrogen Loader را نصب می‌کردند. این‌ها احتمالاً توسط دلالان دسترسی اولیه (IAB) منتشر شده بودند؛ کسانی که دسترسی‌ها را به گروه‌های باج‌افزاری می‌فروشند.

هر کاربری می‌تواند هدف باشد

توزیع‌کنندگان این بدافزارها به دنبال هر اطلاعاتی هستند:

    رمز عبور، اطلاعات مالی، حساب‌های شبکه اجتماعی یا بازی‌ها.

    سپس این داده‌ها را در بازارهای زیرزمینی می‌فروشند.

توصیه‌هایی برای کاربران خانگی

همیشه نرم‌افزار را از سایت رسمی یا فروشگاه‌های معتبر دریافت کنید.

به گواهی دیجیتال و نام ناشر (Publisher) دقت کنید.

از کلیک روی تبلیغات در نتایج جست‌وجو خودداری کنید.

از نرم‌افزارهای امنیتی جامع مانند Kaspersky Premium استفاده کنید.

همچنان از مدیر رمز عبور معتبر برای نگهداری رمزها بهره بگیرید.

توصیه‌هایی برای سازمان‌ها

اجرای سیاست لیست سفید نرم‌افزار برای اطمینان از اصالت برنامه‌ها

استفاده از راهکارهای EDR، SIEM یا XDR برای نظارت دقیق بر تهدیدات

آموزش کارکنان در زمینه فیشینگ، نرم‌افزارهای جعلی و تبلیغات مخرب

 

منبع: مدادپرس

www.medadpress.ir