از بدافزارهایی که می خواهند حساب VPN شما را ربودند ، مراقب باشید

Trickbot یک قطعه بدافزار شناخته شده است. از زمان اولین بار در سال 2016 توسط کارشناسان امنیت سایبری مورد نظارت قرار گرفته است.

این یک بدافزار نسبتاً ساده بود که به منظور سرقت اطلاعات حساس مانند اعتبار ورود به سیستم ، ورود به سیستم و هر چیز مشابه دیگری می تواند شناسایی شود. هدف آن همیشه دستگاه های آسیب پذیر ویندوز بوده است ، از این تعداد بسیاری وجود دارد.

بعضی اوقات نرم افزارهای مخرب برای یک منظور واحد ایجاد می شود و هکرهای موجود در پشت آن به سرعت آن را دور می کنند و پس از شناسایی ، چیز جدیدی ایجاد می کنند.

بعضی اوقات ، ایجاد یک بدافزار موجود به جای ایجاد یک کل کاملاً جدید از ابتدا ، منطقی تر است. و این همان چیزی است که کارشناسان در مورد Trickbot مشاهده کرده اند.

حساب های OpenVPN در حال هدف قرار گرفتن

ماه گذشته ، کارشناسان امنیتی Palo Alto Networks ، یک شرکت سایبر امنیتی مستقر در کالیفرنیا ، که تحت نظارت Trickbot بودند ، شروع به مشاهده شاخص ها کردند. به جای آن ، این بدافزار توجه خود را از گذرواژه های سیستم و ورود به داده های برنامه های OpenVPN و OpenSSH تغییر داده است.

تیم تحقیقاتی Unit 42 آنها در حال اجرای یک دستگاه 64 بیتی ویندوز 7 بودند. هنگامی که یک دستگاه ویندوز به بدافزار Trickbot آلوده می شود ، ماژول های مختلف مختلفی را بارگیری می کند که سپس در پرونده های آلوده به دستگاه ها ذخیره می شوند و در نهایت در پرونده های DLL که روی حافظه سیستم کار می کنند رمزگشایی می شوند.

ماژول مورد توجه محققان Palo Alto pwgrab64 نامیده می شود. این یک ماژول جدید نیست. آنها از نوامبر سال گذشته آن را در دستگاههای آلوده مشاهده کرده اند. اما پیش از این ، این ماژول بر سرقت رمزهای عبور از مرورگرها و برنامه های وب متمرکز شده بود.

در ماه فوریه ، ماژول pwgrab64 به روزرسانی شد تا اعتبارنامه های مورد نظر برای تأیید اعتبار به سرورهای راه دور را با استفاده از VNC ، PuTTY و پروتکل دسک تاپ از راه دور (RDP) استفاده کنند. 19659004] اکنون آنها متوجه شده اند که دوباره به روز شده است. این بار در تلاش است تا از درخواست های HTTP POST برای ارسال کلیدهای خصوصی سرقت شده OpenSSH و رمزهای عبور OpenVPN و پرونده های پیکربندی شده به سرورهای فرمان و کنترل خود استفاده کند.

به عبارت دیگر ، اینک به دنبال سرقت جزئیات ورود به سیستم VPN شماست. [19659007] هنوز فعال نشده است

اگر این مسئله شما را نگران می کند و نگران هستید که جزئیات حساب VPN شما به خطر بیفتد ، وحشت نکنید. طبق گفته محققان Palo Alto ، Trickbot در حال حاضر داده های واقعی را به سرورهای خود ارسال نمی کند.

این به احتمال زیاد به این دلیل است که هرکسی که در پشت این قطعه بدافزار است ، در حال حاضر هنوز در حال آزمایش این قابلیت جدید است.

هنوز هم به طور فعال سرقت داده های دیگری را که هدف قرار داده است ، بنابراین هنوز دلیل خوبی برای هوشیاری وجود دارد.

این یکی از ویروس ترین و به روزترین بخش های بدافزار در اطراف است و جزئیات ورود به سیستم VPN فقط جدیدترین سریال هاست. اهدافی که مشاهده کرده اند همه آن را از کدهای Verizon ، T-Mobile و Spring PIN گرفته تا کوکی های مرورگر را هدف قرار می دهد.

در حالی که ممکن است ابزار گرفتن برای ورود به سیستم VPN هنوز راه اندازی نشده باشد ، محققان Palo Alto آنرا با سرعت و سرعت خود قرار دادند. پیدا شده است که قوی است و نشان می دهد که فقط موضوع قبل از هکرهای موجود در پشت Trickbot آن را گشاد می کند.

چگونه می توان از حساب VPN خود در برابر بدافزار Trickbot محافظت کرد

اگر نگران Trickbot هستید ، اولین چیزی که هست یاد آوردن این است که این بدافزار فقط دستگاههای ویندوز را هدف قرار می دهد. اگر VPN خود را بر روی دستگاه های Android ، iOS یا macOS اجرا می کنید ، هیچ چیزی برای ترسیدن ندارید ، اما مطمئناً وجود سایر بدافزارها در آنجا وجود دارد که باید از آن آگاه باشید.

اگر دستگاه Windows را اجرا می کنید ، بهترین توصیه این است که اطمینان حاصل کنید که سیستم عامل ویندوز شما همیشه با جدیدترین نسخه های به روز است. هر وقت مایکروسافت از یک امنیت امنیتی یا به روزرسانی کامل استفاده می کند ، همیشه در اولین فرصت آن را نصب کنید. این باید اطمینان حاصل کند که دستگاه شما از Trickbot در امان نیست.

همچنین باید اطمینان حاصل کنید که از نرم افزارهای ضد ویروس و ضد تروجان به روز نیز استفاده می کنید. تا زمانی که از یک ابزار معتبر استفاده می کنید ، این امر همچنین باید به جلوگیری از اجرای Trickbot در دستگاه شما کمک کند.

سرانجام ، Trickbot تا حد زیادی از طریق حملات فیشینگ پخش می شود. اگر می خواهید از قربانی چنین حمله ای خودداری کنید ، در مورد نحوه جلوگیری از قربانی شدن یک حمله فیشینگ کلاهبرداری بخوانید. قانون طلایی این است که هرگز روی یک پیوند یا پیوست کلیک نکنید ، مگر اینکه مطمئن باشید این چیست و از کجا آمده است.

تکامل Trickbot برای هدف قرار دادن حساب های VPN می تواند سرنخی در مورد منشاء این قطعه بدافزار ایجاد کند. در کشورهای استبدادی مانند روسیه ، ایران و چین کمونیست ، رژیم ها به دنبال جلوگیری از استفاده از VPN هستند. قطعاً بخشی از بدافزارها که به خطر انداخته اند ، برای آنها بسیار مفید است.

این همه حدس و گمان در حال حاضر است. اما تکامل Trickbot یادآوری کننده این است که VPN ها نه تنها یک ابزار آنلاین و امنیتی بسیار مؤثر در زمینه امنیت و حفظ حریم خصوصی هستند ، بلکه هدف هذیری برای هکرها نیز هستند.