شرکت امنیت سایبری ReversingLabs از موج جدیدی از سوءاستفاده مهاجمان از شبکههای اجتماعی خبر داده است که طی آن بدافزار رباینده اطلاعات ویدار (Vidar Infostealer) از طریق ویدیوهای کوتاه آموزشی در پلتفرمهایی مانند تیکتاک و ریلزهای اینستاگرام منتشر میشود. در این سناریوی حمله، بدافزار رباینده اطلاعات ویدار بهجای اتکا به روشهای کلاسیک فیشینگ، در دل محتوایی ظاهراً آموزشی، مفید و کاملاً قابلاعتماد پنهان شده و کاربران ناآگاه را هدف قرار میدهد.
این مدل حمله مبتنی بر ویدئوهای آموزشی است که با وعده ارائه دسترسی رایگان به سرویسها و نرمافزارهای پولی مانند اسپاتیفای پرمیوم (Spotify Premium) یا مایکروسافت ورد (Microsoft Word) کاربران را به اجرای دستورالعملهای مخرب ترغیب میکند. مهاجمان برای افزایش اعتماد کاربران، ویدئوهایی با گرافیکهای حرفهای (clear graphics) و صداگذاری خودکار تولید میکنند و آنها را به گونهای ارائه میدهند که کاملاً معتبر و قابلاعتماد به نظر برسد.
تبدیل دستورات پاورشل به تلهای برای بدافزار رباینده اطلاعات ویدار
در یکی از تکنیکهای شناساییشده، مهاجمان حسابهایی با نامهایی مانند windows.tips ایجاد کردهاند و از لوگویی آبی و سفید با نماد تاج استفاده میکنند که شباهت زیادی به لوگوی رسمی ویندوز دارد. در این ویدئوها از کاربران خواسته میشود در سیستمهای ویندوزی خود ابزار پاورشل (PowerShell) را اجرا کرده و دستوری مشخص مانند iex irm را وارد کنند.
در واقع این دستور فریبنده باعث میشود سیستمعامل بهصورت پنهانی به یک سرور راه دور متصل شود، یک پیلود مخرب را دریافت کند و آن را اجرا نماید. برای مثال، به کاربران گفته میشود این دستور را به دامنهای مانند msget.run/spotify هدایت کنند؛ در حالی که ماهیت آموزشی و قابلاعتماد ویدئو باعث میشود بسیاری از کاربران بدون بررسی دقیق، این کد را اجرا کرده و در نهایت سیستم آنها به بدافزار رباینده اطلاعات ویدار آلوده شود.
پژوهشگران ReversingLabs تأکید کردهاند که کاربران شبکههای اجتماعی ممکن است صرفاً بر اساس ظاهر ویدئو به آن اعتماد کرده و بدون انجام هیچگونه اعتبارسنجی، اقدام به اجرای دستور پیشنهادی کنند.
ویدیویی در تیکتاک که کاربران را به اجرای دستورات مخرب ترغیب کرده و باعث آلوده شدن دستگاههای آنها به بدافزار میشود
سوءاستفاده از کنجکاوی کاربران در ویدیوهای کوتاه
روش دوم این کمپین بیش از هر چیز بر کنجکاوی کاربران تکیه دارد. در این سناریو، مهاجمان ویدیوهایی منتشر میکنند که در آن قابلیتهای نسخههای پریمیوم اپلیکیشنها همراه با موسیقیهای ترند به نمایش گذاشته میشود و از کاربران خواسته میشود برای دسترسی به «روش فعالسازی»، در بخش کامنت کلماتی مانند ok را ارسال کنند.
پس از ثبت کامنت، مهاجم از طریق پیام مستقیم با کاربر ارتباط برقرار کرده و او را به سمت وبسایتهای جعلی دانلود مانند d4ug.site هدایت میکند. این وبسایتها خود را بهعنوان ارائهدهنده دسترسی رایگان به بازیهای پریمیوم و ابزارهای هوش مصنوعی معرفی میکنند، اما در عمل کاربران به صفحات فریبنده، نظرسنجیهای بینتیجه یا لینکهای مخرب هدایت میشوند؛ فرآیندی که در نهایت میتواند منجر به نصب بدافزار رباینده اطلاعات ویدار شود.
مکانیزم وایرال شدن محتوا
بر اساس تحلیل شرکت ReversingLabs، موفقیت این ویدئوها به دلیل سوءاستفاده از الگوریتمهای پلتفرم و مکانیزمهای وایرال شدن محتوا است. سیستمهای پیشنهاددهنده (recommendation systems) معمولاً محتوایی را در اولویت قرار میدهند که کاربران آن را ذخیره کرده یا به اشتراک میگذارند.
از آنجا که کاربران معمولاً ویدیوهای آموزشی را ذخیره میکنند، این عملکرد بهعنوان سیگنال مثبت برای الگوریتم عمل کرده و باعث میشود این ویدئوها به شکل گستردهتری وایرال شوند. پژوهشگران اشاره کردهاند که یکی از ویدئوهای بررسیشده در این کمپین به 109,000 بازدید، 1,699 ذخیره و 974 اشتراکگذاری دست یافته است. این میزان تعامل باعث میشود بدافزار رباینده اطلاعات ویدار بهجای اتکا به روشهای سنتی حمله، از مسیر طبیعی وایرالشدن محتوا در شبکههای اجتماعی به طیف گستردهتری از کاربران برسد.
دلیل جذابیت بدافزار رباینده اطلاعات ویدار برای مهاجمان
پس از اجرای دستورهای ارائهشده در این ویدئوها، فایلی با نام build.exe روی سیستم کاربر روی سیستم کاربر اجرا میشود که حاوی بدافزار رباینده اطلاعات ویدار است؛ این بدافزار در بازارهای زیرزمینی سایبری بهصورت مدل بدافزار بهعنوان سرویس (Malware-as-a-Service-MaaS) عرضه میشود.
مجرمان سایبری میتوانند با پرداخت حدود 300 دلار، یک مجوز دائمی (perpetual license) برای این ابزار تهیه کرده و از آن برای سرقت گسترده دادهها از جمله رمزهای عبور، اطلاعات بانکی و کوکیهای مرورگر استفاده کنند. بر اساس گزارش ReversingLabs، بدافزار رباینده اطلاعات ویدار در نسخههای اخیر بهروزرسانی شده تا پایداری بیشتری داشته باشد و توانایی بالاتری در دور زدن فیلترهای امنیتی خودکار ارائه دهد.
دشواری مقابله با این کمپینها و توصیههای امنیتی
مقابله با این کمپینها کار سادهای نیست؛ زیرا مهاجمان میتوانند کامنتهای هشداردهنده قربانیان قبلی را حذف کرده و با این کار، ظاهر حرفهای و قابلاعتماد ویدئوها را حفظ کنند. با وجود گزارشهای ReversingLabs درباره این حسابهای مخرب، اینستاگرام هشدارهای ارسالشده را نپذیرفته است.
پژوهشگران در ادامه تأکید میکنند که کاربران باید از اجرای هرگونه دستور ناشناس یا تأییدنشده در ابزارهای ترمینالی (Terminal Utilities) مانند پاورشل خودداری کنند. همچنین سازمانها باید کارکنان خود را برای شناسایی تهدیدات پنهان در شبکههای اجتماعی آموزش دهند؛ چرا که سطح بالای هوشیاری و آمادگی امنیتی، خط مقدم مقابله با بدافزار رباینده اطلاعات ویدار محسوب میشود.
ReversingLabs هشدار داده است که احتمالاً نمونههای بیشتری از این ویدئوها با اهداف مشابه در حال انتشار هستند. کاربران معمولاً بهدنبال نشانههای کلاهبرداری در ایمیلها یا پیامکها میگردند، اما کمتر پیش میآید محتوای آموزشی و ظاهراً مفید در شبکههای اجتماعی را تهدیدآمیز بدانند؛ بهویژه زمانی که این محتوا برخلاف الگوهای رایج فیشینگ، نه با لحن هشداردهنده یا روایتهای احساسی، بلکه در قالب یک راهنمای ساده و بیخطر ارائه میشود.
