APT27 (Advanced Persistent Threat) نام یک گروه هکری است که از چین سرچشمه می‌گیرد و تمایل دارد به دنبال اهداف با مشخصات بالا برود. APT27 همچنین با نام‌های مستعار مختلف دیگر از جمله Emissary Panda، LuckyMouse و BronzeUnion شناخته می‌شود. یکی از شناخته شده ترین کمپین های انجام شده توسط APT27، حملات آنها به پیمانکاران دفاعی ایالات متحده است. از دیگر عملیات های محبوب APT27 می توان به کمپین علیه تعدادی از شرکت های فعال در بخش مالی و همچنین حمله ای علیه مرکز داده واقع در آسیای مرکزی اشاره کرد. ابزارهای هک در تسلیحات APT27 شامل تهدیداتی است که به آنها امکان انجام عملیات شناسایی، جمع‌آوری فایل‌های حساس از میزبان آلوده یا کنترل سیستم در معرض خطر را می‌دهد. محققان امنیت سایبری برای اولین بار فعالیت APT27 را در سال 2010 مشاهده کردند و از آن زمان...

تهدید باج افزار XHAMSTER توسط مجرمان سایبری برای قفل کردن داده های قربانیان خود استفاده می شود. باج افزار XHAMSTER نوع جدیدی از باج افزار Phobos است. الگوریتم رمزگذاری قوی مورد استفاده توسط XHAMSTER تضمین می کند که بازیابی فایل های آسیب دیده بدون کمک هکرها تقریبا غیرممکن خواهد بود. به طور خاص، بدون داشتن کلیدهای رمزگشایی خاص در اختیار آنها. پس از فعال شدن بر روی دستگاه در معرض خطر، XHAMSTER بر طیف وسیعی از انواع فایل‌ها، از جمله اسناد قربانی، عکس‌ها، فایل‌های PDF، بایگانی‌ها، پایگاه‌های داده و بسیاری موارد دیگر تأثیر می‌گذارد. به عنوان بخشی از اقدامات خود، باج افزار همچنین نام اصلی فایل های قفل شده را به طور قابل توجهی تغییر می دهد. ابتدا یک رشته شناسه ایجاد شده برای قربانی خاص اضافه می کند. در مرحله بعد، تهدید حساب ICQ مهاجمان را اضافه...

باج‌افزار Qqlc داده‌های قربانیان خود را هدف قرار می‌دهد و آن‌ها را از طریق یک الگوریتم رمزنگاری قوی قفل می‌کند. سپس اپراتورهای باج‌افزار Qqlc از فایل‌هایی که دیگر در دسترس نیستند به عنوان اهرمی برای اخاذی از کاربران آسیب‌دیده برای دریافت پول استفاده می‌کنند. اختلالات ناشی از باج افزار می تواند شدید باشد و حتی ممکن است فعالیت شرکت های معروف را متوقف کند. در مورد باج‌افزار Qqlc، این تهدید بخشی از خانواده بدافزار STOP/Djvu است و بیشتر در حملات علیه کاربران فردی مستقر می‌شود. هنگامی که در دستگاه نقض شده فعال می شود، Qqlc هر سند، عکس، عکس، پایگاه داده، بایگانی و غیره را رمزگذاری می کند. هر فایل پردازش شده دارای '.qqlc' به عنوان یک پسوند جدید به نام اصلی خود اضافه می شود. پس از قفل کردن همه انواع فایل های هدف، تهدید اقدام به ایجاد یک...

باج‌افزار Qqlo گونه‌ای از خانواده بدافزار STOP/Djvu است که هنوز در بین مجرمان سایبری محبوب است. سویه باج‌افزار STOP/ Djvu برای ایجاد انواع متعدد و تهدیدکننده استفاده شده است که اگرچه به سختی از یکدیگر قابل تشخیص هستند، اما همچنان می‌توانند آسیب قابل توجهی به دستگاه‌های آلوده وارد کنند. Qqlo از این قاعده مستثنی نیست. سیستم‌های آسیب‌دیده در معرض رمزگذاری داده‌ها قرار می‌گیرند که اسناد، فایل‌های PDF، عکس‌ها، بایگانی‌ها، پایگاه‌های داده و بسیاری از انواع فایل‌های دیگر را در حالت غیرقابل استفاده و غیرقابل دسترس ذخیره می‌کند. قربانیان متوجه خواهند شد که تقریباً همه فایل‌های آنها اکنون پسوند فایل '.qqlo' را به عنوان بخشی از نام اصلی خود دارند. یکی دیگر از تغییرات ایجاد شده توسط این تهدید، ظاهر یک فایل متنی ناآشنا به نام '_readme.txt...

ربایندگان مرورگر برنامه هایی هستند که برای تسخیر مرورگرهای وب کاربران طراحی شده اند. آنها معمولاً تنظیمات مهم مرورگر را هدف قرار می دهند و آنها را مطابق با نیازهای خود تغییر می دهند. برای مثال، اکثر ربایندگان مرورگر، صفحه اصلی فعلی، صفحه برگه جدید و موتور جستجوی پیش‌فرض را با آدرس جدیدی جایگزین می‌کنند که وظیفه تبلیغ آن را بر عهده دارند. Smartanswersonline.com دقیقاً چنین آدرسی است که با برنامه های hijacker مرورگر مرتبط است. در نتیجه، کاربران ممکن است هر زمان که مرورگرهای آسیب دیده را باز می کنند، یک برگه جدید شروع می کنند یا از طریق نوار URL جستجو می کنند، تغییر مسیرهای ناخواسته به صفحه ناآشنا را تجربه کنند. آدرس تبلیغ شده Smartanswersonline.com متعلق به یک موتور جستجوی ناآشنا است. اگرچه اکثر ربایندگان مرورگر باعث تغییر مسیر به موتورهای...

کاربران مک که سیستمی را می بینند که به آنها هشدار می دهد که یک برنامه خاص، "می خواهد به کنترل سافاری دسترسی داشته باشد" ممکن است با یک هکر نفوذی مرورگر سر و کار داشته باشد. این برنامه های مزاحم از طریق تاکتیک های مشکوک پخش می شوند و برای کسب درآمد از حضور آنها در دستگاه های کاربران طراحی شده اند. به طور معمول، آشکارترین پیامدهای فعال بودن چنین PUP (برنامه بالقوه ناخواسته) در مک شما، هجوم تبلیغات مشکوک و تغییر مسیرهای مکرر به مقاصد غیرقابل اعتماد است. هنگامی که PUP فعال است، ممکن است بر مرورگر وب کنترل داشته باشد، حتی از بازگرداندن برخی از تنظیمات اصلاح شده به حالت اولیه توسط کاربران جلوگیری می کند. در واقع، اکثر ربایندگان مرورگر صفحه اصلی، صفحه برگه جدید و موتور جستجوی پیش‌فرض را تغییر می‌دهند تا اکنون یک آدرس وب تحت حمایت را باز کنند،...

کاربران باید هنگام برخورد با افزونه کروم که صرفاً به عنوان «ویرایشگر» توصیف می‌شود، مراقب باشند. این افزونه مزاحم به جای ارائه هر گونه ویژگی مفید، به احتمال زیاد باعث تغییر مسیرهای ناخواسته می شود و مسئول تولید تبلیغات متعدد و مشکوک است. اگر اجازه نصب بر روی دستگاه داده شود، افزونه ویرایشگر ممکن است تبلیغاتی برای PUPهای مزاحم (برنامه‌های بالقوه ناخواسته) که به عنوان محصولات نرم‌افزاری قانونی، وب‌سایت‌های جعلی، هدایای جعلی، پلت‌فرم‌های بازی آنلاین/شرط‌بندی مشکوک، پلتفرم‌های مشکوک بزرگسالان و غیره ظاهر می‌شوند، ارائه دهد. افزونه همچنین ممکن است تنظیمات خاص مرورگر (صفحه اصلی، صفحه برگه جدید، موتور جستجوی پیش‌فرض و احتمالاً موارد دیگر) را تغییر دهد تا اکنون به یک آدرس وب ارتقا یافته منتهی شود. اکثر ربایندگان مرورگر با چنین عملکردی وظیفه...

محققان امنیت سایبری به کاربران مک در مورد برنامه مزاحم دیگری که از طریق روش های توزیع مشکوک در حال انتشار است، هشدار می دهند. این PUP (برنامه بالقوه ناخواسته) که AssistSample نام داشت، توسط وب‌سایت‌های فریبنده که ادعا می‌کردند کاربران در حال دانلود نصب کننده برای Adobe Flash Player هستند، تبلیغ می‌شود. پس از فعال شدن در مک، AssistSample احتمالاً شروع به تولید تبلیغات متعدد و سرزده خواهد کرد. مشکل برنامه های تبلیغاتی، علاوه بر تأثیر آشکاری که تبلیغات ارائه شده بر تجربه کاربر دارند، این است که تبلیغات به ندرت برای خدمات، محصولات یا مقصدهای قانونی هستند. در عوض، بیشتر کاربران با تبلیغات پشتیبانی فنی و تاکتیک‌های فیشینگ، هدایای جعلی، صفحات مبهم بزرگسالان و سایر سایت‌های مشابه غیرقابل اعتماد مواجه می‌شوند. علاوه بر این، PUP ها به دلیل تلاش...

بدافزار VileRAT یک تهدید قوی است که توسط مجرمان سایبری برای هدف قرار دادن کارگزاران مبادلات ارزهای خارجی و ارزهای دیجیتال مورد استفاده قرار می گیرد. سازمان‌های مورد هدف یا در معرض خطر در طیف وسیعی از مکان‌های جغرافیایی، از جمله کویت، امارات، فدراسیون روسیه، آلمان، بلغارستان و غیره شناسایی شده‌اند. طبق گزارشی که توسط کارشناسان بدافزار منتشر شده است، VileRAT به گروه جرایم سایبری DeathStalker نسبت داده شده است، سازمانی که گمان می رود خدمات هک برای استخدام را ارائه می دهد. کمپین VilerRAT قابلیت‌های بهبود یافته DeathStalker را برای جلوگیری از شناسایی از طریق استفاده از مبهم‌سازی‌های پیشرفته، چند لایه و همچنین بسته‌بندی با لایه پایین، بارکننده PE در حافظه با اجرای چند مرحله‌ای و حتی دور زدن اکتشافی طراحی شده به نمایش می‌گذارد. راه حل های...

وب سایت Advertisingvt.com هیچ محتوای معناداری را در اختیار کاربران قرار نمی دهد. با این حال، این احتمال وجود دارد که انجام این کار جزو اولویت های اصلی صفحه نباشد. در عوض، محققان infosec مشاهده کرده‌اند که Advertisingvt.com پیام‌های فریبنده و طعمه کلیکی مختلفی را نمایش می‌دهد تا بازدیدکنندگان را فریب دهند تا اعلان‌های فشار آن را فعال کنند. این رفتار خاص توسط بی‌شماری وب‌سایت‌های سرکش دیگر منتشر شده است که از ویژگی مرورگر اعلان‌های فشار قانونی به عنوان راهی برای کسب سود پولی برای اپراتورهای خود استفاده می‌کنند. همچنین لازم به ذکر است که معمولاً صفحاتی مانند Advertisingvt.com عمداً باز نمی شوند. در اکثریت قریب به اتفاق موارد، کاربران در نتیجه تغییر مسیرهای اجباری، شبکه های تبلیغاتی سرکش، یا PUP های مزاحم (برنامه های بالقوه ناخواسته) وارد...

مجرمان سایبری چینی کشف شده اند که از یک نسخه تسلیحاتی یک برنامه پیام رسان به عنوان راهی برای استقرار یک تهدید درب پشتی به نام RShell استفاده می کنند. تهدید درب پشتی نسخه هایی برای سیستم های لینوکس و macOS دارد. جزئیات عملیات حمله و بدافزار RShell در گزارش‌های محققان امنیتی منتشر شد. به گفته آنها، RShell بخشی از زرادخانه تهدید کننده گروه APT (تهدید پایدار پیشرفته) است که با نام های APT27 ، LuckyMouse، IronTiger و Emissary Panda ردیابی می شود. این گروه خاص جرایم سایبری بیش از یک دهه است که فعال بوده و عمدتاً بر عملیات جاسوسی سایبری متمرکز است. هکرها از یک نسخه تروجانیزه شده از برنامه پیام‌رسانی الکترونیکی «MìMì» («mimi» - 秘秘 – «مخفی») استفاده کردند که برای پلتفرم‌های Android، iOS، Windows و macOS در دسترس است. محققان یک نسخه لینوکس را کشف...

Weather Zero ممکن است بدون توجه وارد رایانه ها و دستگاه های کاربران شود و اقدامات مزاحم مختلفی را انجام دهد. این برنامه احتمالاً یک PUP (برنامه بالقوه ناخواسته) است که از طریق وب‌سایت‌های مشکوک، بسته‌های نرم‌افزاری مشکوک، یا نصب‌کننده‌ها/به‌روزرسانی‌های جعلی که ادعا می‌کنند برای برنامه‌های قانونی هستند، پخش می‌شود. PUPها معمولاً دارای طیف وسیعی از عملکردهای ناخواسته هستند، که معمولاً مربوط به ابزارهای تبلیغاتی مزاحم و ربایندگان مرورگر است. در نتیجه، کاربرانی که تحت تأثیر آب و هوای صفر قرار می گیرند، می توانند تبلیغات متعدد و ناخواسته را به عنوان بخشی از یک کمپین تبلیغاتی آزاردهنده ببینند. تبلیغات ممکن است تجربه کاربر در دستگاه را به شدت کاهش دهد، اما مهمتر از آن، آنها می توانند مقاصد غیرقابل اعتماد یا محصولات نرم افزاری را تبلیغ کنند....

مشاهده شده است که Mymojito.xyz پیام های فریبنده یا طعمه کلیکی را به عنوان بخشی از طرح های آنلاین طراحی شده برای استفاده از بازدیدکنندگان سایت نمایش می دهد. تاکتیک دقیقی که در صفحه با آن مواجه می‌شوید ممکن است بر اساس عوامل خاصی مانند آدرس IP و موقعیت جغرافیایی کاربر باشد. به این ترتیب، رفتار Mymojito.xyz می تواند از کاربری به کاربر دیگر متفاوت باشد. یکی از تاکتیک‌هایی که تایید شده توسط صفحه مشکوک استفاده می‌شود، از ویژگی قانونی مرورگر اعلان‌های فشاری استفاده می‌کند. Mymojito.xyz ممکن است به بازدیدکنندگان خود یک پنجره ویدیویی همراه با پیام زیر را نشان دهد: سناریوهای دیگری که معمولاً توسط این وب‌سایت‌های سرکش استفاده می‌شود شامل تظاهر به انجام بررسی CAPTCHA یا قول دسترسی به فایل‌های قابل دانلود یا محتوای بزرگسالان است. آن دسته از کاربرانی...

تغییر مسیرهای مکرر و ناخواسته به صفحه Destyy.com می تواند نشانه ای از وجود یک رباینده مرورگر در کمین رایانه یا دستگاه کاربر باشد. ربایندگان مرورگر برنامه‌های مزاحمی هستند که با عملکردهای لازم برای کنترل بیشتر مرورگرهای وب و تغییر خودسرانه تنظیمات آنها مجهز شده‌اند. با جایگزین کردن صفحه اصلی فعلی، صفحه برگه جدید و موتور جستجوی پیش‌فرض با یک صفحه ارتقا یافته، مانند Destyy.com، رباینده مرورگر می‌تواند شروع به ایجاد ترافیک مصنوعی به سمت آن کند. مهم است که به خاطر داشته باشید که اکثریت قریب به اتفاق این برنامه های مشکوک به دلیل روش های مشکوک به کار رفته در توزیع آنها در رده PUP (برنامه های بالقوه ناخواسته) قرار می گیرند. در واقع، معمولاً مشاهده می‌شود که PUPها در بسته‌های نرم‌افزاری سایه‌دار یا حتی نصب‌کننده‌ها/به‌روزرسانی‌های جعلی گنجانده...

برنامه Pro Acceleration of PC احتمالاً برنامه ای است که اکثر کاربران نصب آن را بر روی رایانه خود به خاطر نمی آورند. این یک اتفاق رایج در هنگام برخورد با PUP ها (برنامه های بالقوه ناخواسته) است. سازندگان چنین محصولاتی به خوبی می‌دانند که شانس کاربرانی که می‌خواهند برنامه‌های خود را دانلود و نصب کنند بسیار کم است. به همین دلیل است که آنها به روش‌های توزیع نسبتاً مشکوک مانند بسته‌های نرم‌افزاری و گاهی اوقات حتی نصب‌کننده‌ها/به‌روزرسانی‌های جعلی کاملاً روی می‌آورند. هنگامی که PUP به طور کامل بر روی دستگاه مستقر می شود، می تواند یک عملکرد اصلی خاص را نشان دهد که به ندرت بر روی سرویس دهی به کاربر متمرکز است. در عوض، برنامه می تواند به عنوان ابزارهای تبلیغاتی مزاحم، هکر مرورگر، ردیاب داده، برنامه بهینه سازی سرکش یا ترکیبی از ویژگی های مزاحم عمل...

کاربرانی که متوجه تغییر مسیرهای ناخواسته به یک صفحه ناآشنا به نام Getsearchredriecting.com می شوند، ممکن است یک برنامه افزودنی یا برنامه کاربردی مرورگر مزاحم فعال در رایانه خود داشته باشند. معمول است که چنین PUP ها (برنامه های بالقوه ناخواسته) از طریق تاکتیک های توزیع مشکوک طراحی شده برای مخفی کردن نصب آنها به دستگاه کاربر می رسند. معمولاً این روش‌ها شامل بسته‌های نرم‌افزاری سایه‌دار یا نصب‌کننده‌ها/به‌روزرسانی‌های کاملاً جعلی هستند. PUPها با عملکردهای hijacker مرورگر می‌توانند کنترل مرورگرهای وب روی سیستم را به عهده بگیرند و چندین تنظیمات (صفحه اصلی، صفحه برگه جدید، موتور جستجوی پیش‌فرض و غیره) را تغییر دهند. در نتیجه، هر زمان که مرورگر آسیب‌دیده راه‌اندازی شود، یک تب جدید ایجاد می‌شود. باز شود، یا کاربران سعی کنند وب را از طریق نوار...

تجزیه و تحلیل تهدید باج افزار Qqmt تایید کرده است که این یک نوع دیگر بر اساس خانواده بدافزار بدنام STOP/Djvu است. به نظر می رسد مجرمان سایبری هنوز از این نوع بدافزار خاص برای ایجاد تهدیدات جدید استفاده می کنند. به هر حال، اگرچه انواع مختلف ویژگی‌های کمی دارند که آنها را از یکدیگر متمایز می‌کند، اما همه آنها قابلیت‌های رمزگذاری قوی مرتبط با این خانواده بدافزار را حفظ می‌کنند. در واقع، دستگاه‌های آلوده به باج‌افزار Qqmt در معرض رمزگذاری داده‌ها قرار می‌گیرند که تقریباً تمام اسناد، فایل‌های PDF، آرشیو، پایگاه‌های اطلاعاتی، عکس‌ها و موارد دیگر را در حالت غیرقابل استفاده و غیرقابل دسترس قرار می‌دهد. تهدید هر فایل پردازش شده را با افزودن پسوند جدید - '.qqmt' به نام اصلی آن علامت گذاری می کند. قربانیان آسیب دیده همچنین متوجه ظاهر شدن ناگهانی یک...