
بدافزار DeerStealer تهدیدی جدی برای سرقت اطلاعات کاربران می باشد. این بدافزار از ابزارهای رایجی مانند Google Authenticator برای آلوده کردن سیستم کاربران استفاده می کند.
بدافزار DeerStealer معمولاً از طریق تبلیغات جعلی و دانلودهای مخرب منتشر می شود و پس از نصب، داده های حساس از جمله اطلاعات مربوط به امنیت سیستم ها شامل رمزهای عبور ورود به سیستم، اطلاعات کارت اعتباری و اطلاعات شخصی را از سیستم های آلوده جمع آوری می کند.
اخیرا کشف شد که بدافزار DeerStealer از طریق وبسایتهای جعلی Google Authenticator انتشار می یابد. این سایتهای جعلی صفحه دانلود Google Authenticator را تقلید میکنند و کاربران را فریب میدهند تا برنامهای را دانلود کنند که فکر میکنند یک برنامه قانونی است. با کلیک بر روی دکمه “دانلود” در این سایت ها، کاربران به یک مخزن مخرب GitHub هدایت می شوند که میزبان بدافزار DeerStealer است. علاوه بر این، این سایت آدرس IP بازدیدکننده و کشور را جهت ردیابی و شناسایی قربانی به یک ربات تلگرام ارسال می کند.
- authentificcatorgoolglte[.]com (Fake Google Authenticator site)
- chromeweb-authenticators[.]com (Another fake Authenticator site)
- paradiso4[.]fun (C2 domain)
- vaniloin[.]fun (C2 domain)
ارتباط با بدافزار XFiles
بدافزارDeerStealer شباهت های زیادی با بدافزار XFiles دارد. هر دو از سایتهای نرمافزار قانونی جعلی برای توزیع استفاده میکنند. با این حال، در حالی که XFiles یک بدافزار مبتنی بر دات نت است که از ارتباطات مرحلهای C2 استفاده میکند، بدافزار DeerStealer یک برنامه کاربردی کد ماشین کامپایلشده است. شباهت در تاکتیک ها حاکی از همپوشانی یا تکامل بالقوه در استراتژی های مجرمانه سایبری است.
راهکارهایی برای جلوگیری از آلودگی با بدافزار DeerStealer
اجتناب از کلیک بر روی نتایج جستجوهای تبلیغاتی مخرب: کاربران باید از کلیک بر روی تبلیغات جعلی و مخرب در نتایج جستجو، به ویژه برای دانلود نرم افزار، اجتناب کنند. بجای استفاده از سایت های third-party، مستقیماً نرم افزار را از وب سایت های رسمی دانلود نمایید.
از ad-blocker استفاده کنید: استفاده از مسدودکننده های تبلیغاتی می تواند از قرار گرفتن در معرض تبلیغات مخرب جلوگیری کند.
تأیید آدرسهای اینترنتی: همیشه قبل از دانلود هر نرمافزاری مطمئن شوید که URLهای دانلود با دامنه رسمی مطابقت دارند.
اسکن دانلودها: از نرم افزار آنتی ویروس به روز شده برای اسکن دانلودها قبل از اجرا استفاده کنید.
منابع:
Cybersecurity News
Red Piranha
Broadcom Security Bulletin
Any.Run
Cybersecsentinel
Redhotcyber