آپدیت بزرگ بدافزار کره شمالی برای فریب آنتیویروسها
ویروس InvisibleFerret به فایلهای موذی .pyd و .so مجهز شد!
تصور کنید یک برنامهنویس یا متخصص هوش مصنوعی هستید و یک شرکت معتبر خارجی در لینکدین یا تلگرام به شما پیشنهاد یک شغل عالی با حقوق دلاری میدهد. در فرآیند مصاحبه، از شما میخواهند یک پروژه نمونه را از گیتهاب دانلود (کلون) و روی سیستم خود اجرا کنید. به محض اجرای کد، شما عملاً تمام داراییهای دیجیتال و دسترسیهای شرکتی خود را به هکرهای وابسته به دولت کره شمالی هدیه دادهاید!
تصور کنید یک برنامهنویس یا متخصص هوش مصنوعی هستید و یک شرکت معتبر خارجی در لینکدین یا تلگرام به شما پیشنهاد یک شغل عالی با حقوق دلاری میدهد. در فرآیند مصاحبه، از شما میخواهند یک پروژه نمونه را از گیتهاب دانلود (کلون) و روی سیستم خود اجرا کنید. به محض اجرای کد، شما عملاً تمام داراییهای دیجیتال و دسترسیهای شرکتی خود را به هکرهای وابسته به دولت کره شمالی هدیه دادهاید! این سناریو، شیوه کار گروه هکری خطرناک Void Dokkaebi است که اخیراً بر اساس گزارش شرکت امنیتی Trend Micro در می ۲۰۲۶، بدافزار معروف خود یعنی InvisibleFerret (سمور نامرئی) را به فناوری جدیدی مجهز کرده تا آنتیویروسها به هیچ وجه متوجه حضور آن نشوند.
واکاوی شگرد جدید: تبدیل کدهای خوانا به فایلهای قفلشده سیستمی
در گذشته، این بدافزار به صورت کدهای معمولی زبان برنامهنویسی پایتون (Python Scripts) ارسال میشد. آنتیویروسهای مدرن به راحتی درون این کدهای متنی را اسکن کرده و به محض دیدن کلمات مشکوک، جلوی اجرای آنها را میگرفتند. اما هکرها برای دور زدن این سد دفاعی دست به یک حیله فنی زدهاند:
- استفاده از فناوری Cython: هکرها کدهای معمولی پایتون را با ابزاری به نام کایتون کامپایل کرده و به فایلهای باینری (کدهای صفر و یک ماشین) تبدیل کردهاند.
- استتار در قالب پسوندهای سیستمعامل: این بدافزار اکنون در ویندوز به صورت فایلهای .pyd نوعی فایل شبیه به لایبرریهای DLLو در سیستمعامل مک (macOS) به صورت فایلهای .so ظاهر میشود. از آنجا که این فایلها دیگر متن ساده نیستند، ابزارهای اسکن سنتی متوجه نیت شوم آنها نمیشوند و هکرها یک پنهانکاری تمامعیار را رقم میزنند.
۲. زنجیره آلودگی و بخشهای مختلف بدافزار سمور نامرئی
برای اینکه این فایلهای سیستمیِ کامپایل شده بتوانند روی رایانه قربانی اجرا شوند، هکرها یک اسکریپت واسط به نام.mod روی دیسک مینویسند که وظیفهاش صدا زدن و بیدار کردن آن فایلهای باینری است. این بدافزار پس از اجرا، چهار موتور یا ماژول اصلی را در پسزمینه فعال میکند که هرکدام وظیفه خاصی دارند:
- ماژول اتصال (mod): ارتباط اولیه را با سرور هکر برقرار کرده و قطعات بعدی بدافزار را دانلود میکند.
- ماژول درب پشتی (pad): یک دسترسی مخفی برای هکر ایجاد میکند تا کنترل کامل سیستم را در دست بگیرد و مشخصات سختافزاری را سرقت کند.
- ماژول سرقت مرورگر (brw): تمام اطلاعات حساس، رمزهای عبور ذخیره شده در مرورگرها (گوگل کروم، فایرفاکس و...) و اطلاعات کارتهای اعتباری را میدزدد.
- ماژول تخریب مک (mc): مخصوص سیستمهای اپل است؛ این ماژول کیف پولهای دیجیتال را آلوده کرده و برای دور زدن امنیت جدید گوگل کروم، به صورت خودکار نسخه مرورگر کرومِ کاربر را به نسخههای قدیمیتر و ناامنتر تنزل (Downgrade) میدهد!
۳. توسعه بازوی کمکی؛ بدافزار BeaverTail خطرناکتر از همیشه
همزمان با آپدیت سمور نامرئی، بدافزار دانلودکننده همکار آن یعنی BeaverTail (دمسگآبی) نیز ارتقا یافته و اکنون خودش مستقیماً به ابزار سرقت کلمات کلیدی کیف پولهای دیجیتال (Seed Phrases) تبدیل شده است. این ابزار از چهار نسخه فرعی استفاده میکند که افزونههای معروفی مثل MetaMask، Coinbase Wallet و Phantomرا در مرورگرهای کروم و بریو (Brave) جعل و جایگزین میکند.
هکرها برای پنهان کردن آدرسهای IP خود در این بخش، کدهای خود را به شدت رمزنگاری کردهاند؛ کدهای امنیتی با استفاده از روش الگوریتم XOR و کلیدهای ۴ بایتی قفل شدهاند و آدرسهای سرور فرماندهی پیش از ارسال، به دو نیم تقسیم شده، جابهجا گشته و سپس با استاندارد Base64 انکود میشوند تا عملاً شناسایی آنها برای تحلیلگران امنیتی کابوس شود.
🔍 تحلیل اختصاصی امنیت سایبری ۲۴ نیوز:
این پدیده یک زنگ خطر بسیار جدی برای جامعه توسعهدهندگان، فریلنسرها و شرکتهای دانشبنیان ایرانی است. هکرهای کره شمالی گروه Void Dokkaebiبه خوبی روی روانشناسی کارجویان حوزه کریپتو و هوش مصنوعی سوار میشوند. نکته فنی و پدافندی بسیار حیاتی این است که این بدافزار دقیقاً در مسیرهای پنهان پروژهها مانند دایرکتوری .vscode (پوشه تنظیمات نرمافزار کدنویسی ویژوال استودیو کد) جا خوش میکند.
تغییر رفتار بدافزارها از «اسکریپتهای متنی» به «باینریهای کامپایل شده»، نشاندهنده یک بازی موش و گربه جدید در لایه EDR/XDR (سیستمهای تشخیص تهدیدات نقطهای) است. اگر تیمهای امنیت سایبری سازمانها هنوز به قوانین اسکن سنتی متنی مانند قوانین YARA ساده متکی باشند، در برابر این حمله کاملاً خلع سلاح خواهند بود. هدف قرار دادن زنجیره ساخت نرمافزار (CI/CD Pipelines) و سرقت کلیدهای امضای دیجیتال پروژهها، به هکرها این امکان را میدهد که در آینده از بستر نرمافزارهای ایرانی برای حملات بزرگتر به کاربران نهایی سوءاستفاده کنند.
🛡️ راهکارهای دفاعی ۲۴ نیوز برای کارشناسان و برنامهنویسان:
برای ایمن ماندن در برابر این موج جدید از حملات، رعایت پروتکلهای زیر حیاتی است:
- هوشیاری در مصاحبههای کاری خارجی: به هیچ عنوان کدهای گیتهاب یا فایلهای اجرایی ارسالشده توسط افراد ناشناس در قالب تست فنی یا مصاحبه شغلی را روی سیستم اصلی و شخصی خود اجرا نکنید. برای این کار حتماً از یک محیط ایزوله، ماشین مجازی (VM) یا سندباکس بدون دسترسی به شبکه داخلی استفاده کنید.
- پایش پوشههای تنظیمات ادیتورها: تیمهای امنیتی باید سیستمهای پایش خود را روی ایجاد فایلهای مشکوک با پسوند .pyd یا .so در پوشههای خاص مانند .vscode حساس کنند.
- رصد تغییرات ناگهانی مرورگرها: هرگونه تنزل نسخه (Downgrade) خودکار مرورگر گوگل کروم یا کرومیوم در سیستمعامل مک، باید به عنوان یک نشانه قطعی از آلودگی به این بدافزار تلقی شده و سیستم فورا از شبکه جدا شود.
- حرکت به سمت شناسایی باینری (Binary-Aware Detection): ابزارهای دفاعی سازمانها باید از سطح بررسی متون فراتر رفته و توانایی تحلیل رفتاری و ساختاری فایلهای کتابخانهای و افزونههای تزریقشده را داشته باشند.
تحلیل و تنظیم فنی: تحریریه تخصصی پدافند و امنیت زیرساخت ۲۴ نیوز (بهراد یوسفی)
