تهدید جدید بدافزاری: سوءاستفاده مجرمان سایبری از VPN های جعلی در گیت هاب

تهدید بدافزاری جدید: چگونه مجرمان سایبری از VPN های تقلبی در GitHub سوءاستفاده می‌کنند

متخصصان امنیت فناوری اخیراً یک کمپین پیچیده بدافزاری را شناسایی کرده‌اند که با بهره‌برداری از برنامه‌های VPN جعلی منتشر شده در گیت‌هاب، موجی از نگرانی‌ها را برای امنیت سایبری جهانی به‌وجود آورده است. طبق گزارش شرکت امنیت سایبری Cyfirma، این تهدید نوظهور با استفاده از نرم‌افزار مخرب که در قالب "VPN رایگان برای کامپیوتر" ارائه می‌شود، کاربران را فریب می‌دهد تا بدافزار معروف Lumma Stealer را به‌صورت ناخواسته نصب کنند.

تحول بدافزارها: پنهان شدن در قالب نرم‌افزارهای مرسوم

مهاجمان سایبری روزبه‌روز بیشتر متخصصان فناوری و کاربران عادی را با ارائه ابزارهایی مانند VPN رایگان و برنامه‌های مرتبط با بازی هدف قرار می‌دهند. در یکی از نمونه‌های اخیر، یک حمله بدافزاری در قالب ابزار "Minecraft Skin Changer" ظاهر شده بود؛ ابزاری محبوب در میان گیمرها که نشان‌دهنده سازگاری روش حمله‌کنندگان برای جذب گروه‌های مختلف کاربران است. این ترفند هوشمندانه موجب می‌شود افراد نرم‌افزاری را که ظاهراً معتبر به‌نظر می‌رسد نصب کنند، در حالی که در واقع نوعی بدافزار چندمرحله‌ای است.

زنجیره حمله پیشرفته: مخفی‌سازی و ماندگاری

پس از نصب VPN جعلی، دراپر بدافزاری با اجرای مجموعه‌ای از مراحل پیچیده فعالیت خود را آغاز می‌کند: با مبهم‌سازی کد، بارگذاری پویا DLLهای مخرب، تزریق کد مستقیم به حافظه و سوءاستفاده از اجزای قابل اعتماد ویندوز مانند MSBuild.exe و aspnet_regiis.exe. این روش باعث می‌شود شناسایی و حذف بدافزار دشوار باشد، زیرا با استفاده از تکنیک‌های پیشرفته اختفا، در فرآیندهای معمول سیستم ادغام می‌شود.

گیت‌هاب نقشی کلیدی در روش توزیع این بدافزار دارد. مهاجمان فایل‌های ZIP رمزگذاری‌شده و دستورالعمل‌های تقلبی را به مخزن github[.]com/SAMAIOEC بارگذاری می‌کنند تا به فرآیند نفوذ ظاهر قانونی بدهند و اعتماد کاربران را جلب نمایند. درون این آرشیوها، بار مخرب با تکنیک‌هایی مانند مبهم‌سازی زبان فرانسوی و رمزگذاری base64 مخفی شده و تشخیص آن را برای ابزارهای سنتی امنیتی سخت‌تر می‌کند.

نحوه عملکرد بدافزار: تحلیل فنی

پس از اجرا، فایلی به نام Launch.exe یک رشته base64 را رمزگشایی و یک DLL پنهان (msvcp110.dll) را در شاخه AppData کاربر جایگذاری می‌کند. این فایل مخفی مانده و در زمان اجرا به‌صورت پویا بارگذاری می‌شود تا با فراخوانی تابع GetGameData()، بار نهایی بدافزار را فعال کند. مهندسی معکوس این نمونه‌ها به‌دلیل استفاده از تکنیک‌های ضد اشکال‌زدایی مانند IsDebuggerPresent و پیچیدگی جریان کنترل کد، بسیار دشوار است. کل زنجیره حمله با بهره‌گیری از تاکتیک‌های MITRE ATT&CK، همچون DLL sideloading، اجرای درون حافظه‌ای و دورزدن sandoxها می‌کوشد از دفاع‌های پیشرفته امنیت سایبری عبور کند.

حفظ امنیت: توصیه‌های ضروری به کاربران و متخصصان IT

متخصصان امنیت تأکید می‌کنند که کاربران برای کاهش خطر، از دانلود نرم‌افزارهای غیررسمی و ناشناس – حتی در صورت انتشار از طریق پلتفرم‌هایی مانند گیت‌هاب – خودداری کنند. این هشدار خصوصاً برای ابزارهایی که به‌عنوان VPN رایگان یا مود بازی تبلیغ می‌شوند، اهمیت ویژه‌ای دارد. هرگونه فایل ارائه شده در قالب آرشیو رمزدار یا با مراحل نصب مبهم باید با احتیاط کامل بررسی شود.

مدیران IT می‌توانند با غیرفعال کردن مجوز اجرای فایل در پوشه‌هایی مانند AppData و Temp، و رصد مستمر سیستم برای شناسایی DLLهای جدید یا فعالیت‌های مشکوک مربوط به فرآیندهای مورد اعتماد مثل MSBuild.exe، امنیت بیشتری تأمین کنند. مشاهده رفتارهای غیرعادی اینگونه فایل‌های اجرایی باید فوراً پیگیری شود.

از نظر فنی، استفاده از آنتی‌ویروس‌های نسل جدید با قابلیت شناسایی تهدید مبتنی بر رفتار به‌شدت توصیه می‌شود. به‌جای تکیه تنها به اسکن امضای فایل، باید راهکارهای پیشرفته حفاظت نقطه پایانی و ابزارهای ضد DDoS برای مقابله با تهدیداتی مانند تزریق حافظه، ایجاد فرایند مخفی و سوءاستفاده از APIها به‌کار رود.

اهمیت بازار و لزوم دانلود هوشمندانه

با رشد تقاضا برای سرویس‌های VPN و مودهای رایگان بازی، خطرات مرتبط با اپلیکیشن‌های جعلی نیز افزایش یافته است. پلتفرم‌هایی مانند GitHub که جایگاه قابل اعتمادی برای توسعه‌دهندگان محسوب می‌شوند، اکنون مورد سوءاستفاده مهاجمان قرار می‌گیرند. در مقابل، ارائه‌دهندگان معتبر VPN یا نرم‌افزارهای رسمی، فرآیندهای احراز امنیت را به‌شدت رعایت می‌کنند و هرگز نرم‌افزارهای خود را از طریق آرشیوهای رمزدار و با دستورالعمل‌های نامشخص توزیع نمی‌کنند.

برای کاربران و سازمان‌ها، هوشیاری بیش از هر زمان دیگری حیاتی است. همواره برنامه‌ها را از سایت رسمی سازنده یا منابع معتبر دانلود کنید و بهداشت امنیتی سیستم‌های خود را حفظ نمایید تا در برابر تهدیدات سایبری نوظهور مصون بمانید. این اقدامات پیشگیرانه، در دوره‌ای که مهاجمان دائما شیوه‌های خود را متناسب با پیشرفت فناوری‌های امنیتی تغییر می‌دهند، اهمیتی مضاعف می‌یابد.