پرش به محتوای اصلی

تروجان Efimer: سرقت رمزارز از طریق وب سایت‌ های هک‌ شده

مقالات آنتی ویروس
تاریخ ارسال : 1404/05/20 منبع : ایده ارتباط تراشه
تروجان Efimer: سرقت رمزارز از طریق وب سایت‌ های هک‌ شده

ما تروجان جدیدی به نام Efimer را شناسایی کرده ایم که با بهره‌ گیری از حافظه موقت (Clipboard) اقدام به سرقت رمزارز می‌ کند. در این مطلب، نحوه عملکرد آن و روش‌ های حفاظت در برابر این تهدید را بررسی می کنیم.

شرکت ایده ارتباط تراشه (نماینده رسمی محصولات کسپرسکی در ایران): اگر کاربر فعال رمزارز هستید اما همچنان فایل های تورنت (Torrent) دانلود می کنید و روش امن ذخیره‌ سازی عبار‌ت های بازیابی (Seed Phrase) را نمی دانید، خبر بدی برایتان داریم. ما تروجان جدیدی به نام Efimer را شناسایی کرده‌ ایم که آدرس کیف پول رمزارزی شما را مستقیما در حافظه موقت (Clipboard) جایگزین می کند. تنها یک کلیک کافی است تا دارایی شما به کیف پول یک هکر منتقل شود.

در ادامه، روش هایی را معرفی می کنیم تا بتوانید رمزارز خود را در برابر این تهدید ایمن نگه دارید.

نحوه انتشار تروجان Efimer

یکی از اصلی ترین روش‌ های انتشار Efimer، وب‌ سایت‌ های وردپرسی هستند. وردپرس یک سیستم مدیریت محتوای رایگان و البته محبوب ترین پلتفرم ساخت وب‌ سایت در جهان است. از وبلاگ‌ نویسان و کسب و کارهای کوچک گرفته تا رسانه های بزرگ و شرکت های بین المللی از آن استفاده می کنند. کلاهبرداران از وب‌ سایت‌ هایی با امنیت پایین سوء استفاده کرده و با انتشار پست هایی حاوی فایل های تورنت آلوده، این بدافزار را در میان کاربران پخش می کنند.

یک وب‌ سایت وردپرس هک شده که به Efimer آلوده شده است، این شکلی است


یک وب‌ سایت وردپرس هک شده که به Efimer آلوده شده است، این شکلی است.


وقتی کاربر یک فایل تورنت را از وب سایت آلوده دانلود می کند، پوشه ای کوچک دریافت می کند که ظاهرا شامل یک فایل ویدیویی با پسوند xmpeg. است. باز کردن این نوع فایل بدون یک "پخش کننده رسانه مخصوص" ممکن نیست و این پخش‌ کننده نیز به‌ طور "تصادفی" در همان پوشه قرار داده شده است. در واقع، این "پخش کننده" چیزی جز یک نصب کننده تروجان نیست.

پوشه تورنت حاوی فایل های مخرب


پوشه تورنت حاوی فایل های مخرب


اخیرا Efimer شروع به گسترش از طریق ایمیل های فیشینگ نیز کرده است. صاحبان وب سایت و دامنه، ایمیل هایی دریافت می کنند که ظاهرا از سوی وکلای حقوقی ارسال شده و به‌ طور جعلی ادعای نقض کپی رایت کرده و خواستار حذف محتوا می شوند. در متن این ایمیل ها ذکر می‌ شود که "تمام جزئیات" در فایل پیوست موجود است؛ اما این پیوست در واقع محل پنهان‌ شدن تروجان است. حتی اگر خودتان مالک وب‌ سایت نباشید، باز هم ممکن است چنین ایمیل های اسپمی را دریافت کنید. مهاجمان سایبری، آدرس های ایمیل کاربران را از وب سایت های وردپرسی که پیش تر هک کرده اند جمع آوری می کنند. بنابراین، اگر ایمیلی با این مضمون دریافت کردید، مهم ترین نکته این است: به هیچ عنوان فایل پیوست را باز نکنید.

نحوه سرقت رمزارز توسط تروجان Efimer

پس از آلوده‌ شدن دستگاه به Efimer، یکی از اسکریپت‌ های آن در صورت داشتن دسترسی ادمین، خود را به فهرست استثناهای Windows Defender اضافه می‌ کند تا از شناسایی و حذف شدن جلوگیری کند. سپس بدافزار یک کلاینت Tor نصب می کند تا بتواند با سرور فرمان و کنترل (C2) خود ارتباط برقرار کند.

تروجان Efimer به حافظه موقت (Clipboard) سیستم دسترسی پیدا کرده و به دنبال عبارت بازیابی (Seed Phrase) می گردد؛ این عبارت مجموعه ای منحصر به فرد از کلمات است که امکان دسترسی به کیف پول رمزارزی را فراهم می کند. تروجان این عبارت را ذخیره کرده و به سرور مهاجمان ارسال می کند. اگر Efimer در حافظه موقت، آدرس یک کیف پول رمزارزی پیدا کند، آن را به طور مخفیانه با یک آدرس جعلی جایگزین می کند. برای جلب نکردن شک کاربر، این آدرس جعلی معمولا بسیار شبیه به آدرس اصلی است. نتیجه این عملیات آن است که رمزارز کاربر بی سر و صدا به کیف پول مهاجمان منتقل می شود.

کیف پول ‌های حاوی بیت‌ کوین (Bitcoin)، اتریوم (Ethereum)، مونرو (Monero)، ترون (Tron) یا سولانا (Solana) بیشترین خطر را دارند، اما صاحبان سایر رمزارزها نیز نباید از این تهدید غافل شوند. توسعه‌ دهندگان Efimer به‌ طور مرتب این بدافزار را با افزودن اسکریپت ‌های جدید و پشتیبانی از کیف پول ‌های بیشتر به‌ روز رسانی می کنند. جزئیات کامل قابلیت‌ های Efimer را می ‌توانید در تحلیل منتشر شده در Securelist مطالعه کنید.

چه کسانی در معرض خطر هستند؟

این تروجان کاربران ویندوز را در سراسر جهان هدف قرار می دهد. در حال حاضر، بیشترین فعالیت آن در کشورهای برزیل، روسیه، هند، اسپانیا، آلمان و ایتالیا مشاهده شده است، اما دامنه این حملات به‌ راحتی می‌ تواند به سایر کشورها نیز گسترش یابد - اگر تا این لحظه گسترش نیافته باشد. کاربرانی که از کیف پول رمزارز استفاده می کنند، مالکان وب‌ سایت ‌های وردپرسی و افرادی که به‌ طور مکرر فیلم، بازی و فایل‌ های تورنت را از اینترنت دانلود می کنند، باید هوشیاری بیشتری داشته باشند.

چگونه در برابر تروجان Efimer از خود محافظت کنیم؟

تروجان Efimer یک بدافزار چند کاره و خطرناک است که می تواند رمزارزها را سرقت کرده، آدرس کیف پول‌ ها را جایگزین کند و تهدیدی جدی برای افراد و سازمان ‌ها باشد. این بدافزار قادر است با استفاده از اسکریپت ‌ها وب ‌سایت ‌های وردپرسی را هک کرده و حتی به‌ صورت خودکار گسترش پیدا کند. با این حال، در تمام موارد، آلودگی تنها زمانی رخ می ‌دهد که قربانی بالقوه، یک فایل آلوده را دانلود و اجرا کند. این یعنی کمی دقت و احتیاط - به ‌ویژه خودداری از باز کردن فایل‌ های مشکوک یا ناشناس - بهترین خط دفاعی شما در برابر Efimer خواهد بود.

توصیه ‌های ما به کاربران خانگی:

  • از یک راهکار امنیتی قدرتمند مانند کسپرسکی پریمیوم (Kaspersky Premium) استفاده کنید که بتواند فایل ‌ها را از نظر وجود بدافزار اسکن کرده و هنگام کلیک روی لینک ‌های فیشینگ به شما هشدار دهد.
  • رمزهای عبور منحصر به ‌فرد و قوی ایجاد کنید. ذخیره آن ‌ها در اپلیکیشن یادداشت (Notes) ایده خوبی نیست! حتما از مدیر رمز عبور استفاده کنید.
  • برای ورود به کیف پول ‌های رمزارزی و وب‌ سایت‌ ها از احراز هویت دو مرحله ‌ای (2FA) استفاده کنید.
  • از دانلود فیلم یا بازی از وب ‌سایت‌ های نامعتبر خودداری کنید. محتوای غیرقانونی (Pirated) اغلب مملو از انواع تروجان ‌هاست. حتی اگر تصمیم گرفتید این ریسک را بپذیرید، به پسوند فایل‌ ها دقت کنید. یک فایل ویدیویی واقعی هرگز پسوند exe. یا xmpeg. نخواهد داشت.
  • عبارت های بازیابی (Seed Phrase) را در فایل متنی ساده ذخیره نکنید. به یک مدیر رمز عبور اعتماد کنید.

تبلیغات

طراحی و قالب سایت خانه و خانواده

مناسب برای مهد کودک و عروسی و مشاور خانواده
دسته بندی ها
سایر مقالات
برچسب ها
رمزارز
بیت کوین
اتریوم
کلاهبرداری
فیشینگ
تروجان
عضویت در خبرنامه
فروش ویژه پاییزی
فروش ویژه تابستان آنتی ویروس نود 32 و کسپرسکی

شرکت ایده ارتباط تراشه

فعالیت خود را از سال 1390، به عنوان بزرگترین ارائه دهنده ابزار و نرم افزارهای امنیت اطلاعات رایانه ای آغاز نموده است و با اخذ نمایندگی رسمی شرکت های ESET و Kaspersky سبد متنوعی از آنتی ویروس های خانگی و تحت شبکه را در اختیار گرفته تا یک محصول اورجینال به کاربران خود ارائه دهد. این شرکت با دارا بودن دفاتر نمایندگی در سراسر کشور و با تشکیل تیم فنی قدرتمند برای پشتیبانی همواره تلاش داشته تا بهترین راهکارها را در قالب محصولات و خدمات در اختیار مشتریان قرار دهد. همچنین این شرکت با اجرای بهترین خدمات از جمله طراحی سایت، نرم افزار مدیریت ارتباط با مشتریان، تولید ویدیو های آموزشی توانسته مشاوری برای بروز بودن کسب و کار مشتریان خود باشد و با شعار "کسب و کار شما گران بها است" تا فردا هایی روشن تر همواره برای خدمت رسانی به هموطنان عزیز در تلاش بوده است.

تماس با ما

تهران، شهرک راه آهن، خیابان کامیاب، کوچه کاوش، برج تریتا، طبقه 19، واحد 184

47000782 , 44950338 , 44950389 , 44964960 , 44964967 (021)

Logo-Samandehi Logo-Enamad
کلیه حقوق مادی و معنوی این سایت متعلق به شرکت ایده ارتباط تراشه می باشد.
Whatsapp Chat کارشناسان ما پاسخگوی شما هستند