نفوذ به دژ JDownloader؛ هکرها نصاب‌های رسمی را با بدافزار جایگزین کردند!

 ۱. کالبدشکافی حمله: نفوذ بدون نیاز به پسورد!

توسعه‌دهندگان JDownloader تایید کردند که هکرها از یک آسیب‌پذیری وصله‌نشده (Zero-day) در سیستم مدیریت محتوای وب‌سایت (CMS) سوءاستفاده کرده‌اند.

• تغییر دسترسی‌ها: مهاجمان توانستند بدون داشتن نام کاربری و رمز عبور، لیست‌های کنترل دسترسی (ACL) سایت را تغییر داده و محتوای صفحات را ویرایش کنند.
• هدف‌گیری هوشمند: جالب اینجاست که هکرها به جای دستکاری لینک اصلی، لینک‌های Alternative Installer در ویندوز و نصاب شل (Shell) در لینوکس را هدف قرار دادند تا شناسایی حمله دشوارتر شود.
  
  

۲. بدافزار پایتونی؛ جاسوسی که در سایه حرکت می‌کند

محققان امنیتی با کالبدشکافی نسخه‌های آلوده، به نتایج نگران‌کننده‌ای رسیدند:

• در ویندوز: بدافزار یک تروجان مبتنی بر Python  است که به شدت مبهم‌سازی (Obfuscated)  شده تا آنتی‌ویروس‌ها را دور بزند. این RAT به هکر اجازه می‌دهد هر کدی را که می‌خواهد از راه دور روی سیستم قربانی اجرا کند.
• در لینوکس: حمله بسیار پیچیده‌تر است. نصاب آلوده، فایلی را با ظاهر یک عکس (SVG) دانلود می‌کند که در واقع یک آرشیو مخرب است. این بدافزار با ایجاد دسترسی Root، خود را به عنوان یک سرویس سیستمی (Systemd)  معرفی کرده و حتی پس از ری‌بوت شدن سیستم نیز به فعالیت خود ادامه می‌دهد.
  
  

۳. چگونه بفهمیم قربانی شده‌ایم؟

ما در ۲۴ نیوز همیشه بر بررسی امضای دیجیتال تاکید داریم. برای JDownloader:

1. روی فایل نصاب راست‌کلیک کرده و Properties  را بزنید.
2. به زبانه Digital Signatures بروید.
3. اگر نام امضاکننده "AppWork GmbH" بود، فایل سالم است. اما اگر نامی مثل "Zipline LLC" یا "The Water Team" را دیدید یا اصلاً امضایی وجود نداشت، سیستم شما آلوده شده است.
   

۴. سونامی حملات به ابزارهای محبوب

این اتفاق تنها چند هفته پس از حملات مشابه به سایت‌های CPUID  ابزار CPU-Z و DAEMON Tools رخ داده است. هکرها متوجه شده‌اند که به جای حمله به تک‌تک کاربران، کافی است مخزن اصلی نرم‌افزارهای مورد اعتماد مردم را آلوده کنند تا هزاران قربانی را به صورت یکجا شکار کنند.

توصیه‌های اورژانسی تحریریه ۲۴ نیوز:

• فرمت کردن سیستم: اگر فایل آلوده را اجرا کرده‌اید، به دلیل اجرای کدهای سطح بالا توسط هکر، تنها راه مطمئن، نصب مجدد سیستم‌عامل (Reinstall OS) است.
• تغییر تمامی پسوردها: به محض پاک‌سازی سیستم، رمز عبور تمام حساب‌های بانکی، ایمیل‌ها و شبکه‌های اجتماعی خود را تغییر دهید؛ چرا که تروجان‌های RAT معمولاً اولین کاری که می‌کنند، سرقت پسوردهای ذخیره شده در مرورگر است.
• استفاده از پکیج‌منیجرهای رسمی: سعی کنید به جای دانلود مستقیم از سایت‌ها، از مخازن معتبر مثل Winget، Snap یا Flatpak استفاده کنید که در این حمله آلوده نشده بودند.

برگردان و تنظیم: تحریریه ۲۴ نیوز (بهراد یوسفی)