نصب VPN همراه با Backdoor

webiyan سپتامبر 24, 2020 0 Comments

افرادی که Windscribe VPN را از یک وب سایت غیر رسمی نصب می کنند ، خطر بارگیری نصب نصب شده با درب پشتی را دارند. در نگاه اول ، نصب کننده قانونی به نظر می رسد. در حقیقت ، این نرم افزار همراه با Trojan است که به هکرها امکان دسترسی به رایانه قربانی را می دهد.

Legitimate VPN Installer Trojanized

نصب Trojanized Windows برای Windscribe VPN توسط محققان TrendMicro کشف شد. TrendMicro در گزارش خود اعلام کرد که آنها نصب کننده trojanized را در سایتهای بارگیری شخص ثالث کشف کردند. نصب کنندگان مرکز بارگیری رسمی Windscribe یا فروشگاه برنامه های Google و Apple دستکاری نشده اند.

افراد برنامه ها را از سایت های بارگیری شخص ثالث بارگیری می کنند زیرا در چنین سایتهایی ارزان تر یا حتی رایگان هستند. با این حال ، این سایت های شخص ثالث همیشه فقط پرونده نصب قانونی را ارائه نمی دهند. بعضی اوقات مجرمان اینترنتی پرونده قانونی را به همراه پرونده های مخرب در یک بسته بسته بندی می کنند.

این بسته ها شامل آیکون پرونده نصب قانونی یا یک کپی یکسان از آن هستند ، تا قانونی بودن بسته ها را نشان دهد. در نتیجه ، بعید است افرادی که چنین بسته هایی را بارگیری می کنند ، متوجه شوند که ممکن است مشکلی در آنها وجود داشته باشد.

نحوه کار Trojanized Installer

بدافزارهای مخرب مانند Trojans ، در این مورد ، با برنامه های قانونی ، یک روش محبوب در میان است مجرمان اینترنتی برای به خطر انداختن دستگاه ها. Trojan’s توسط مجرمان اینترنتی برای ایجاد درهای پشتی به دستگاه های کاربر یا شبکه های شرکت استفاده می شود. نصب کننده مخرب VPN که توسط TrendMicro کشف شده است به Trojan دسترسی از راه دور Bladabindi آلوده است که به آن NJ Rat نیز گفته می شود. درپشتی Bladabindi به مجرمان سایبری امکان دسترسی و کنترل از راه دور کامپیوترهای قربانیان را بدون احراز هویت مناسب می دهد.

هنگامی که افراد بسته نصب کننده مخرب را اجرا می کنند ، بسته برنامه Windscribe VPN را نصب می کند. با این حال ، در حالی که برنامه قانونی در حال نصب است ، بسته همچنین یک فایل را در پس زمینه اجرا می کند که به نوبه خود بدافزار مورد نیاز را از یک وب سایت بارگیری می کند. از آنجا که پرونده در پس زمینه اجرا می شود ، قربانی از وقوع چنین اتفاقی آگاهی ندارد.

TrendMicro توضیح می دهد که: "برنامه همراه سه م componentsلفه را به سیستم کاربر می ریزد: نصب کننده VPN قانونی ، پرونده مخرب (به نام lscm.exe) که شامل درب پشتی و برنامه ای است که به عنوان عامل اجرای پرونده مخرب عمل می کند ( win.vbs ). کاربر یک پنجره نصب را بر روی صفحه خود مشاهده می کند ، که احتمالاً فعالیت مخربی را که در پس زمینه رخ می دهد پنهان می کند. "

قابلیت های Backdoor

با نصب درپشتی Bladabindi بر روی رایانه قربانی ، مجرمان اینترنتی می توانند:

  • رایانه ، مانند آدرس IP ، نام رایانه ، موقعیت مکانی رایانه و نام کاربری کامل
  • تعیین کنید که چه محصولات ضد ویروسی و / یا سیستم عامل نصب شده است
  • از صفحه قربانی عکس بگیرید
  • بارگیری ، اجرا و به روزرسانی فایلها از راه دور
  • از راه دور دستورات را اجرا کنید ، فرایندها را از بین ببرید و رجیستری سیستم را دستکاری کنید
  • دوربین و میکروفون کامپیوتر را کنترل کنید
  • ورود به سیستم را فشار دهید
  • رمزهای عبور را که در مرورگرها و برنامه های دیگر ذخیره شده سرقت کنید

توصیه ها

برای جلوگیری از جلوگیری از کاربران از قربانی شدن این نصب کننده مخرب VPN ، TrendMicro توصیه های زیر را در گزارش خود ارائه می دهد:

  • بارگیری نکنید برنامه ها و پرونده ها از منابع شخص ثالث ناشناخته. این موارد را فقط از مراکز بارگیری رسمی و فروشگاه های برنامه بارگیری کنید.
  • URL وب سایت را بررسی کنید تا ببینید آیا دارای نام دامنه قانونی برای وب سایت رسمی برنامه است. همچنین نام دامنه فروشگاه های برنامه را همانطور که در URL وب سایت نشان داده شده است بررسی کنید. غلط املایی یا نام دامنه "کاملاً درست" را بررسی نکنید.
  • برنامه ها و پرونده های دیگر را از آدرس های ایمیل ناشناخته یا مشکوک بارگیری نکنید زیرا ممکن است اینها ایمیل های فیشینگ باشند. همچنین روی پیوندهای موجود در اینگونه ایمیل ها کلیک نکنید. ابتدا بر روی پیوند قرار بگیرید تا پیش نمایش URL این پیوند را بدست آورید و قبل از کلیک ، ببینید به کجا منتهی می شود.