به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، گزارشهای شرکت کلاودسک (CloudSek) نشان میدهد که این شبکه، که عمدتاً به شهرهای بهاولپور و فیصلآباد ردگیری شده، مشابه یک مدل فروش چندسطحی عمل میکرد؛ با این تفاوت که محصول آن کُد مخرب بود.
این گروه قربانیان را از طریق دستکاری بهینهسازی موتور جستجو (SEO poisoning) و انتشار پست در انجمنها با تبلیغ نرمافزارهای کرکشدهای مانند Adobe After Effects و Internet Download Manager جذب میکرد.
این آگهیها کاربران را به سایتهای وردپرسی آلوده هدایت میکردند که در آنها بدافزارهایی مانند لوما استیلر (Lumma Stealer)، متا استیلر (Meta Stealer) و آموس (AMOS) در آرشیوهای رمزگذاریشده جاسازی شده بودند.
ستون فقرات مالی این عملیات دو شبکه پرداخت بهازای نصب (PPI) به نامهای InstallBank و SpaxMedia (که بعدها به Installstera تغییر نام داد) بود.
اعضا برای هر نصب یا دانلود موفق بدافزار پول دریافت میکردند.
این شبکه بیش از ۵۲۰۰ عضو و دستکم ۳۵۰۰ سایت فعال داشت.
درآمد ثبتشده این گروه بیش از ۴ میلیون دلار بوده و پرداختها عمدتاً از طریق پایونیر (Payoneer) و بیتکوین انجام میشد.
ابعاد فعالیت بسیار گسترده بود؛ بهطوری که اسناد نشان میدهند در این بازه بیش از ۴۴۹ میلیون کلیک و بیش از ۱.۸۸ میلیون نصب ثبت شده است.
اما این کمپین زمانی دچار چرخش شد که خودِ مهاجمان به بدافزارهای سرقت اطلاعات آلوده شدند و در نتیجه اطلاعاتی از جمله نامهای کاربری، ارتباطات و دسترسیهای پشتیبان به سیستمهای پرداخت بهازای نصب خودشان افشا شد.
این افشا نشاندهنده نشانههای قوی از مشارکت خانوادگی بود؛ زیرا نامخانوادگیهای تکراری و حسابهای مشترک در زیرساخت آنها مشاهده شد.
گروه با گذر زمان استراتژی خود را تغییر داد؛ از ردیابی مبتنی بر نصب در سال ۲۰۲۰ به شاخصهای مبتنی بر دانلود در سالهای بعد منتقل شد؛ تغییری که احتمالاً برای فرار از شناسایی یا انطباق با روشهای جدید کسب درآمد صورت گرفت.
سایتهای باسابقه بیشترین سودآوری را داشتند؛ بخش کوچکی از دامنهها بیشترین میزان نصب و درآمد را تولید کردند.
دامنههای موقت با طول عمر کوتاه نیز برای دور نگه داشتن منبع آلودگی از نقطه نهایی تحویل بدافزار به کار میرفتند.
این موضوع نشان میدهد که نرمافزارهای کرکشده یکی از اصلیترین درگاههای توزیع چنین بدافزارهایی هستند.
برای ایمن ماندن، رعایت کردن نکات زیر ضروری است:
• از دانلود نرمافزارهای کرکشده یا دزدی پرهیز کنید؛ چراکه یکی از روشهای رایج توزیع بدافزارهای سرقت اطلاعات است.
• از منابع معتبر مانند وبسایت رسمی توسعهدهنده یا پلتفرمهای توزیع قابل اعتماد استفاده کنید.
• نرمافزارهای امنیتی خود را بهروز نگه دارید تا تهدیدهای شناختهشده پیش از اجرا مسدود شوند.
• فایروال را برای جلوگیری از ارتباط برنامههای مخرب با سرورهای راهدور پیکربندی کنید.
• احراز هویت چندمرحلهای (MFA) فعال کنید تا رمزهای عبور دزدیدهشده بهتنهایی نتوانند دسترسی ایجاد کنند.
• حسابهای بانکی، ایمیل و آنلاین خود را بهطور منظم برای شناسایی علائم سرقت هویت بررسی کنید.
• از دادههای مهم نسخه پشتیبان تهیه کنید (بهصورت آفلاین یا در فضای ابری امن) تا در صورت حمله بتوانید بازیابی کنید.
• از تهدیدات سایبری نوظهور و فعالیت دامنههای مشکوک مطلع باشید.
• مراقب پیشنهادهایی باشید که نرمافزارهای گرانقیمت را رایگان ارائه میدهند؛ چراکه معمولاً حامل خطرات پنهان امنیتی هستند.
