‫ khozestan_salamat بلاگ

مجرمان سایبری از برنامه‌های وب پیش‌رو (PWA) در جدیدترین کلاهبرداری فیشینگ سوء‌استفاده می‌کنند و کاربران تلفن همراه را در چک، مجارستان و گرجستان هدف قرار می‌دهند.

شرکت امنیت سایبری ESET موج جدیدی از کمپین‌های فیشینگ را کشف کرده است که از برنامه‌های کاربردی وب پیش‌رو (PWAs) استفاده می‌کنند و از نوامبر 2023 فعال هستند. طبق گزارش‌ها، بازیگران تهدید یک تکنیک جدید فیشینگ را ارائه کرده‌اند که از PWA برای فریب قربانیان ناآگاه استفاده می‌کند.

PWAها برنامه‌های کاربردی وب هستند که برای ارائه یک تجربه برنامه تقریباً بومی در دستگاه‌های تلفن همراه طراحی شده‌اند. کاربران می‌توانند آنها را روی صفحه اصلی خود نصب کرده و درست مانند برنامه‌های معمولی راه‌اندازی کنند. ESET گزارش می‌دهد که عوامل تهدید از ماهیت چند پلتفرمی PWA‌ها برای هدف قرار دادن کاربران iOS و Android با یک برنامه فیشینگ استفاده می‌کنند.

این کمپین معمولاً با یک پیوند فیشینگ ارائه شده از طریق پیامک، تبلیغات نادرست رسانه‌های اجتماعی یا تماس‌های صوتی خودکار شروع می‌شود و از کاربران می‌خواهد برای به‌روزرسانی‌های امنیتی یا پیشنهادات انحصاری کلیک کنند. با کلیک کردن روی پیوند، به وب‌سایتی می‌رسید که برای تقلید از فروشگاه رسمی برنامه یا وب‌سایت بانک مورد نظر طراحی شده است و از کاربران خواسته می‌شود نسخه جدیدی از برنامه را «نصب کنند».

پس از نصب، PWA مخرب به عنوان یک برنامه بانکی قانونی ظاهر می‌شود و کاربران را وادار می‌کند تا اعتبار ورود خود را وارد کنند. سپس این اطلاعات حساس به سرورهای مهاجم منتقل می‌شود و حساب‌های مالی کاربران را در معرض خطر قرار می‌دهد.

برخلاف دانلودهای سنتی برنامه، نصب PWA هیچ هشدار امنیتی ایجاد نمی‌کند، زیرا PWAها اساساً وب سایت‌هایی هستند که به عنوان برنامه ظاهر می‌شوند. این نصب بی‌صدا به ویژه برای کاربران iOS که به فرآیند نصب برنامه ایمن‌تر عادت دارند نگران کننده است.

این طرح می‌تواند حتی در دستگاه‌های اندرویدی فریبنده تر باشد. مهاجمان ممکن است از WebAPK‌ها استفاده کنند، فناوری که به کروم اجازه می‌دهد یک برنامه با ظاهر بومی از یک PWA تولید کند. این توهم یک برنامه قانونی را بیشتر تقویت می‌کند، زیرا WebAPK نصب شده نشان مرورگر را روی نماد خود ندارد.

محققان ESET چندین کمپین فیشینگ را مشاهده کرده‌اند که کاربران را در چک، مجارستان و گرجستان هدف قرار می‌دهند. این کمپین‌ها از حملات مبتنی بر PWA و WebAPK برای سرقت اطلاعات حساس استفاده کردند.

تعداد قابل توجهی از تلاش‌های فیشینگ به سمت مشتریان بانک‌های چک انجام شد و مهاجمان از تبلیغات رسانه‌های اجتماعی برای توزیع لینک‌های مخرب استفاده کردند. در مجارستان، مهاجمان مشتریان OTP Bank را هدف قرار دادند و یک حمله فیشینگ مبتنی بر PWA که یک بانک را هدف قرار داد در گرجستان مشاهده شد. تحقیقات ESET به سرعت به بانک‌های آسیب‌دیده اطلاع داد و به حذف چندین دامنه فیشینگ و سرورهای C&C کمک کرد.

تجزیه‌و تحلیل بیشتر دو کمپین فیشینگ مجزا را نشان داد که هر کدام از زیرساخت سرور C&C متفاوتی استفاده می‌کردند. این نشان دهنده حضور چندین عامل تهدید کننده است که از این روش جدید فیشینگ سوء‌استفاده می‌کنند.

TodoSwift که توسط گروه تهدید BlueNoroff ساخته شده است، از Swift/SwiftUI اپل برای ارائه یک PDF فریبنده روی بیت کوین در حالی که مخفیانه یک محموله بدخواهانه را دانلود می‌کند، استفاده می کند. 

موج جدیدی از بدافزارها و آسیب‌پذیری‌های امنیتی که کاربران macOS را هدف قرار می‌دهند، کشف شده است که این بار در قالب یک فایل PDF بیت کوین قابل دانلود و به ظاهر بی‌ضرر پنهان شده است. محققان در Kandji این بدافزار را شناسایی کرده‌اند که آن را TodoSwift همانطور که در Swift/SwiftUI نوشته شده است، نام‌گذاری کرده‌اند.

گزارش کانجی نشان می‌دهد که این بدافزار در فایلی به نام TodoTasks پنهان شده است که در 24 ژوئیه 2024 در VirusTotal آپلود شده است.

بررسی‌های بیشتر نشان داد که TodoTasks از یک برنامه رابط کاربری گرافیکی نوشته شده در Swift/SwiftUI برای پنهان کردن اهداف مخرب خود استفاده می‌کند. این نرم افزار خود را به عنوان ابزاری برای دانلود و نمایش فایل‌های PDF معرفی می‌کند. با این حال، در زیر سطح، TodoTasks هدف پلیدتری را به کار می‌گیرد.

در واقع، بدافزار مخفیانه یک برنامه مخرب ثانویه را دانلود و اجرا می‌کند. این رویکرد دو مرحله‌ای تشخیص آن را چالش‌برانگیزتر می‌کند، زیرا ممکن است برنامه اولیه قانونی به نظر برسد.

همه چیز با ایجاد یک شیء کنترلر پنجره از طریق متد makeWindowControllers شروع می‌شود که برای اجرای رفتار مخرب بدافزار استفاده می‌شود. سپس قطره چکان یک تابع ارائه PDF را فراخوانی می‌کند که دو URL را از حافظه بازیابی می‌کند: یکی به پیوند Google Drive اشاره می‌کند و دیگری مشکوک به مخرب بودن.

محققان این بدافزار را به گروه عامل تهدید کره شمالی BlueNoroff بر اساس شباهت‌ها به بدافزارهای قبلا مشاهده شده KandyKorn و RustBucket نسبت داده‌اند.

BlueNoroff زیرگروهی از گروه بزرگ‌تر تحت حمایت دولت کره شمالی به نام Lazarus است و به دلیل هدف قرار دادن مداوم موسسات مالی، صرافی‌های ارزهای دیجیتال و نهادهای دولتی شناخته شده است. اخیراً، BlueNoroff توانایی پیچیده‌ای را برای فرار از شناسایی و اجرای حملات سایبری پیچیده نشان داده است.

در سال 2019، وزارت خزانه داری آمریکا سه گروه سایبری کره شمالی به نام‌های لازاروس، بلونورف و اندریل را به دلیل فعالیت‌های سایبری آنها در زیرساخت‌های حیاتی به اتهام حمایت از برنامه‌های تسلیحاتی و موشکی غیرقانونی تحریم کرد. با این حال، این گروه همچنان یک تهدید دائمی است.

ویندوز 11 از شما می‌خواهد که با یک حساب مایکروسافت وارد شوید تا راه‌اندازی رایانه جدید خود را به پایان برسانید. با این حال، اگر اتصال اینترنتی فعال ندارید یا می‌خواهید از یک حساب کاربری محلی استفاده کنید، می‌توانید این روش‌ها را برای راه‌اندازی ویندوز 11 دنبال کنید.

1. دور زدن نیاز اینترنت خارج از جعبه (OOBE).

می توانید با استفاده از دستور OOBE \BYPASSNRO در Command Prompt، اجازه دهید شما را به صفحه شبکه متصل کنیم دور بزنید. هنگامی که اجرا می شود، یک اسکریپت CMD موجود به نام bypassnro.cmd را اجرا می کند که در پوشه System32 ذخیره شده است تا رجیستری ویندوز را تغییر دهد. این تغییر به شما امکان می دهد تا تنظیمات ویندوز 11 را بدون اتصال به اینترنت تکمیل کنید. برای انجام این کار:

کامپیوتر خود را با رسانه نصب ویندوز بوت کنید. اگر قبلاً در صفحه اجازه دهید شما را به صفحه شبکه متصل کنیم، به مرحله 6 زیر بروید.
وقتی کادر گفتگوی Windows Setup ظاهر شد، زبان، زمان و طرح ورودی صفحه کلید دلخواه خود را انتخاب کنید و روی Next کلیک کنید. سپس روی Install Now کلیک کنید.
کلید محصول خود را وارد کنید تا ویندوز 11 فعال شود. اگر کلید محصول ندارید، روی پیوند کلید محصول ندارم در گوشه پایین سمت راست کلیک کنید. اگر از ویندوز 10 یا نسخه قدیمی‌تر ویندوز 11 ارتقا می‌دهید، سیستم‌عامل به‌طور خودکار کلید محصول ویندوز مرتبط با سخت‌افزار رایانه شما را شناسایی و تأیید می‌کند.
در مرحله بعد، اگر از شما خواسته شد، نسخه ویندوز 11 را که می خواهید نصب کنید، انتخاب کنید. برای پذیرش شرایط، کادر را علامت بزنید و روی Next کلیک کنید. سپس، Custom: Install Windows Only (Advanced) را انتخاب کنید.
درایو نصب را انتخاب کرده و روی Next کلیک کنید. منتظر بمانید تا نصب ویندوز تمام شود و کامپیوتر خود را مجددا راه‌اندازی کنید. در صفحه تنظیمات، منطقه و طرح صفحه کلید خود را انتخاب کنید.
پس از وارد شدن به صفحه اجازه دهید شما را به صفحه شبکه متصل کنیم، Shift + F10 را فشار دهید تا Command Prompt اجرا شود.

در پنجره Command Prompt دستور زیر را تایپ کرده و Enter را فشار دهید:
OOBE\BYPASSNRO
اکنون سیستم شما راه‌اندازی مجدد شده و گفتگوی OOBE را مجددا راه‌اندازی می‌کند. دستورالعمل‌های روی صفحه را برای تکمیل تنظیمات دنبال کنید. وقتی به صفحه اجازه دهید شما را به صفحه شبکه متصل کنیم، روی I don't have Internet کلیک کنید.
سپس روی Continue with limited setup کلیک کنید. سپس، موافقت نامه مجوز را بپذیرید و اقدام به ایجاد حساب کاربری محلی خود کنید.

همچنین، حتماً سؤالات امنیتی را اضافه کنید. این به شما کمک می‌کند تا در صورت فراموشی رمز عبور، حساب کاربری محلی خود را بازیابی کنید. پس از انجام، دستورالعمل‌های روی صفحه را دنبال کنید تا راه‌اندازی کامل شود.

2. فرآیند جریان اتصال شبکه را با استفاده از Task Manager پایان دهید
می‌توانید با پایان دادن به فرآیند oobenetworkconnectionflow.exe، صفحه «بیایید شما را به شبکه متصل کنیم» دور بزنید. از آنجایی که شما قبلاً ویندوز 11 را در این مرحله نصب کرده‌اید، می‌توانید Task Manager را در بالای جادوگر راه‌اندازی خود با استفاده از Command Prompt راه‌اندازی کنید و روند را از بین ببرید.
برای پرش از تنظیمات شبکه ویندوز 11 با استفاده از Task Manager:

با فرض اینکه در صفحه اجازه دهید شما را به صفحه شبکه متصل کنیم، Shift + F10 را فشار دهید تا Command Prompt اجرا شود.
در پنجره Command Prompt عبارت taskmgr را تایپ کرده و Enter را بزنید تا Task Manager اجرا شود. یا می‌توانید Ctrl + Shift + Esc را فشار دهید تا آن را اجرا کنید.
روی More Details کلیک کنید تا Task Manager در نمای کامل باز شود.
به تب Processes رفته و از نوار جستجو در Task Manager برای یافتن فرآیند Network Connection Flow استفاده کنید.
فرآیند Network Connection Flow را انتخاب کنید و سپس روی دکمه End task کلیک کنید. صبر کنید تا فرآیند به پایان برسد و سپس Task Manager را ببندید.
exit را در Command Prompt تایپ کنید و کلید Enter را بزنید.

فرآیند نصب به‌روزرسانی می‌شود و به جادوگر راه‌اندازی هدایت می‌شوید. مقداری انیمیشن در حال بارگذاری را نشان می‌دهد و سپس به مرحله بعدی می‌رود. در اینجا، نام و رمز عبور خود را وارد کنید تا یک حساب کاربری محلی در ویندوز 11 ایجاد کنید و تنظیمات را تکمیل کنید.

پس از اتمام نصب، به اینترنت متصل شوید. سپس به Settings > Windows Update بروید و تمام به روز رسانی‌های امنیتی و ویژگی‌های مهم را دانلود کنید. همچنین ممکن است پس از تنظیم اولیه متوجه چند آیکون از دست رفته شوید. هنگامی که رایانه شخصی خود را به اینترنت متصل می‌کنید، ویندوز این نمادها را دانلود می‌کند.

ویندوز 11 از شما می‌خواهد که با یک حساب مایکروسافت وارد شوید تا راه‌اندازی رایانه جدید خود را به پایان برسانید. با این حال، اگر اتصال اینترنتی فعال ندارید یا می‌خواهید از یک حساب کاربری محلی استفاده کنید، می‌توانید این روش‌ها را برای راه‌اندازی ویندوز 11 دنبال کنید.

1. دور زدن نیاز اینترنت خارج از جعبه (OOBE).

می توانید با استفاده از دستور OOBE \BYPASSNRO در Command Prompt، اجازه دهید شما را به صفحه شبکه متصل کنیم دور بزنید. هنگامی که اجرا می شود، یک اسکریپت CMD موجود به نام bypassnro.cmd را اجرا می کند که در پوشه System32 ذخیره شده است تا رجیستری ویندوز را تغییر دهد. این تغییر به شما امکان می دهد تا تنظیمات ویندوز 11 را بدون اتصال به اینترنت تکمیل کنید. برای انجام این کار:

کامپیوتر خود را با رسانه نصب ویندوز بوت کنید. اگر قبلاً در صفحه اجازه دهید شما را به صفحه شبکه متصل کنیم، به مرحله 6 زیر بروید.
وقتی کادر گفتگوی Windows Setup ظاهر شد، زبان، زمان و طرح ورودی صفحه کلید دلخواه خود را انتخاب کنید و روی Next کلیک کنید. سپس روی Install Now کلیک کنید.
کلید محصول خود را وارد کنید تا ویندوز 11 فعال شود. اگر کلید محصول ندارید، روی پیوند کلید محصول ندارم در گوشه پایین سمت راست کلیک کنید. اگر از ویندوز 10 یا نسخه قدیمی‌تر ویندوز 11 ارتقا می‌دهید، سیستم‌عامل به‌طور خودکار کلید محصول ویندوز مرتبط با سخت‌افزار رایانه شما را شناسایی و تأیید می‌کند.
در مرحله بعد، اگر از شما خواسته شد، نسخه ویندوز 11 را که می خواهید نصب کنید، انتخاب کنید. برای پذیرش شرایط، کادر را علامت بزنید و روی Next کلیک کنید. سپس، Custom: Install Windows Only (Advanced) را انتخاب کنید.
درایو نصب را انتخاب کرده و روی Next کلیک کنید. منتظر بمانید تا نصب ویندوز تمام شود و کامپیوتر خود را مجددا راه‌اندازی کنید. در صفحه تنظیمات، منطقه و طرح صفحه کلید خود را انتخاب کنید.
پس از وارد شدن به صفحه اجازه دهید شما را به صفحه شبکه متصل کنیم، Shift + F10 را فشار دهید تا Command Prompt اجرا شود.

در پنجره Command Prompt دستور زیر را تایپ کرده و Enter را فشار دهید:
OOBE\BYPASSNRO
اکنون سیستم شما راه‌اندازی مجدد شده و گفتگوی OOBE را مجددا راه‌اندازی می‌کند. دستورالعمل‌های روی صفحه را برای تکمیل تنظیمات دنبال کنید. وقتی به صفحه اجازه دهید شما را به صفحه شبکه متصل کنیم، روی I don't have Internet کلیک کنید.
سپس روی Continue with limited setup کلیک کنید. سپس، موافقت نامه مجوز را بپذیرید و اقدام به ایجاد حساب کاربری محلی خود کنید.

همچنین، حتماً سؤالات امنیتی را اضافه کنید. این به شما کمک می‌کند تا در صورت فراموشی رمز عبور، حساب کاربری محلی خود را بازیابی کنید. پس از انجام، دستورالعمل‌های روی صفحه را دنبال کنید تا راه‌اندازی کامل شود.

2. فرآیند جریان اتصال شبکه را با استفاده از Task Manager پایان دهید
می‌توانید با پایان دادن به فرآیند oobenetworkconnectionflow.exe، صفحه «بیایید شما را به شبکه متصل کنیم» دور بزنید. از آنجایی که شما قبلاً ویندوز 11 را در این مرحله نصب کرده‌اید، می‌توانید Task Manager را در بالای جادوگر راه‌اندازی خود با استفاده از Command Prompt راه‌اندازی کنید و روند را از بین ببرید.
برای پرش از تنظیمات شبکه ویندوز 11 با استفاده از Task Manager:

با فرض اینکه در صفحه اجازه دهید شما را به صفحه شبکه متصل کنیم، Shift + F10 را فشار دهید تا Command Prompt اجرا شود.
در پنجره Command Prompt عبارت taskmgr را تایپ کرده و Enter را بزنید تا Task Manager اجرا شود. یا می‌توانید Ctrl + Shift + Esc را فشار دهید تا آن را اجرا کنید.
روی More Details کلیک کنید تا Task Manager در نمای کامل باز شود.
به تب Processes رفته و از نوار جستجو در Task Manager برای یافتن فرآیند Network Connection Flow استفاده کنید.
فرآیند Network Connection Flow را انتخاب کنید و سپس روی دکمه End task کلیک کنید. صبر کنید تا فرآیند به پایان برسد و سپس Task Manager را ببندید.
exit را در Command Prompt تایپ کنید و کلید Enter را بزنید.

فرآیند نصب به‌روزرسانی می‌شود و به جادوگر راه‌اندازی هدایت می‌شوید. مقداری انیمیشن در حال بارگذاری را نشان می‌دهد و سپس به مرحله بعدی می‌رود. در اینجا، نام و رمز عبور خود را وارد کنید تا یک حساب کاربری محلی در ویندوز 11 ایجاد کنید و تنظیمات را تکمیل کنید.

پس از اتمام نصب، به اینترنت متصل شوید. سپس به Settings > Windows Update بروید و تمام به روز رسانی‌های امنیتی و ویژگی‌های مهم را دانلود کنید. همچنین ممکن است پس از تنظیم اولیه متوجه چند آیکون از دست رفته شوید. هنگامی که رایانه شخصی خود را به اینترنت متصل می‌کنید، ویندوز این نمادها را دانلود می‌کند.

اگر با پیام "رمز عبور شما منقضی شده است و باید تغییر کند" در صفحه ورود به سیستم ویندوز خود مواجه شده‌اید، دلیل آن این است که رمزهای عبور برای حساب های محلی ویندوز به طور پیش فرض هر 42 روز منقضی می‌شود. شما می‌توانید به سرعت از این صفحه عبور کرده و این تنظیمات را خاموش کنید.

نحوه ورود با استفاده از رمز عبور منقضی شده
هنگامی که رمز عبور حساب محلی شما منقضی شد و پیام "گذرواژه شما منقضی شده است" را مشاهده کردید، برای ورود به سیستم باید رمز عبور جدیدی ایجاد کنید. برای ایجاد رمز عبور جدید، باید رمز عبور فعلی خود را به خاطر بسپارید. اکنون مراحل را بررسی کنیم:

1- هنگامی که پیام انقضا را در صفحه ورود مشاهده کردید، روی OK کلیک کنید تا صفحه بازنشانی رمز عبور باز شود.
2- رمز عبور فعلی خود را وارد کنید اگر حساب شما رمز ورود به سیستم ندارد، آن را خالی بگذارید.
3- سپس رمز عبور جدید خود را تایپ کرده و مجدداً در قسمت Confirm password وارد کنید. در صورت تمایل می‌توانید از رمز عبور قدیمی خود مجددا استفاده کنید. اگر نمی‌خواهید رمز عبور تعیین کنید، قسمت‌های رمز جدید را خالی بگذارید.
4- برای ادامه بر روی بعدی کلیک کنید.
5- وقتی پیام تغییر رمز عبور را مشاهده کردید، برای ادامه روی OK کلیک کنید.

اکنون، به سادگی با استفاده از رمز عبور جدید خود وارد شوید.

انقضای رمز عبور را برای حساب‌های محلی خاموش کنید
پس از ورود به سیستم، می توانید ویژگی انقضای رمز عبور ویندوز را با استفاده از برنامه Local Users and Groups غیرفعال کنید. این یک ویژگی پیشرفته است که در نسخه خانگی ویندوز 11 موجود نیست. اگر صاحب نسخه Home هستید، ابتدا باید Local User and Groups Management را در Windows Home فعال کنید. پس از انجام، مراحل زیر را دنبال کنید:

1- روی منوی Start کلیک کنید، Computer Management را تایپ کنید و آن را از نتایج جستجو باز کنید.
2- در گفتگوی مدیریت رایانه، Local Users and Groups را در نوار کناری سمت چپ گسترش دهید.
3- سپس روی پوشه Users در سمت راست دوبار کلیک کنید. با این کار تمام حساب‌های کاربری شما در رایانه فهرست می‌شود.
4- روی حساب کاربری که می‌خواهید انقضای رمز عبور را غیرفعال کنید کلیک راست کنید، سپس Properties را انتخاب کنید.

5- در گفتگوی Properties، گزینه Password never expires را علامت بزنید.
6- سپس روی OK و Apply کلیک کنید تا تغییرات ذخیره شوند.

انقضای رمز عبور را برای حساب های مایکروسافت خاموش کنید
خاموش کردن انقضای رمز عبور برای حساب مایکروسافت بسیار آسان است و به ابزار خاصی نیاز ندارد. در اینجا نحوه انجام آن آمده است:

1- در یک مرورگر به account.microsoft.com بروید و با حساب مایکروسافت خود وارد شوید.
2- در نوار کناری سمت چپ گزینه Security را انتخاب کنید و روی Change password در گوشه بالا سمت راست کلیک کنید.
3- در صفحه تغییر رمز عبور، رمز عبور فعلی خود را وارد کنید و رمز عبور جدید خود را وارد کنید.
4-تیک گزینه Make me change my password every 72 days را بردارید سپس روی Save کلیک کنید.

اکنون می‌توانید با استفاده از رمز عبور جدید وارد حساب مایکروسافت خود شوید.

استفاده از حساب مایکروسافت به عنوان روش ورود به سیستم اولیه، مزایایی مانند پشتیبان‌گیری خودکار و همگام سازی دارد. با این حال، یک حساب کاربری محلی هنوز هم به دلایل حفظ حریم خصوصی و امنیتی انتخاب بهتری است. همچنین تنظیم مجدد رمز عبور برای یک حساب محلی بسیار ساده‌تر است.

هدف از ویژگی انقضای رمز عبور در ویندوز، حفظ امنیت حساب کاربری شما از طریق چرخش رمز عبور است. با این حال، تغییر رمز عبور هر چند هفته یکبار ارزش این کار را ندارد، به خصوص زمانی که هنوز موثرتر از احراز هویت دو مرحله‌ای باشد.

بدافزار جدید اندروید "Antidot" خود را به عنوان Google Update برای سرقت اطلاعات بانکی پنهان می کند.

محققان امنیت سایبری در Cyble یک نوع بدافزار جدید و پیچیده اندرویدی به نام «Antidot» را کشف کردند. این بدافزار خود را به‌عنوان یک به‌روزرسانی جعلی Google پنهان می‌کند و کاربران ناآگاه را فریب می‌دهد تا آن را در دستگاه‌های خود دانلود کنند. پس از نصب، Antidot اطلاعات بانکی حساس را مورد هدف قرار می دهد که تهدیدی قابل توجه برای امنیت مالی است.

این بدافزار با توزیع خود از طریق کمپین‌های فیشینگ از جمله SMSishing عمل می‌کند که در آن کاربران پیام‌های SMS یا اعلان‌هایی را دریافت می‌کنند که به نظر می‌رسد از طرف Google است و از آنها می‌خواهد نرم‌افزار یا اقدامات امنیتی خود را به‌روزرسانی کنند. این پیام‌ها اغلب حاوی لینک‌های مخربی هستند که با کلیک روی آن‌ها، بدافزار Antidot را که به‌عنوان یک بسته به‌روزرسانی قانونی Google (APK) پنهان شده است، دانلود می‌کنند.

پس از نصب، Antidot به دنبال کسب امتیازات مدیریتی بر روی دستگاه است. در صورت موفقیت آمیز بودن، به مهاجم کنترل کامل دستگاه را می دهد و به آنها اجازه می دهد تا اشکال مختلف داده های حساس را بدزدند، از جمله: لیست های تماس، پیامک‌ها، اطلاعات کارت اعتباری، کدهای احراز هویت دو مرحله ای، اعتبار ورود به برنامه های بانکی و حساب های آنلاین.

بر اساس تجزیه و تحلیل Cyble، Antidot از آسیب‌پذیری‌های موجود در سیستم عامل اندروید برای دستیابی به پایداری و فرار از شناسایی سوء استفاده می‌کند. این بدافزار همچنین از تکنیک‌هایی برای مبهم کردن کد و کانال‌های ارتباطی خود استفاده می‌کند و تجزیه و تحلیل و کاهش آن را چالش‌برانگیزتر می‌کند.

خطر ناشی از آنتی دات قابل توجه است. هدف قرار دادن اطلاعات بانکی، آن را به ابزار اصلی برای سرقت وجوه مجرمان سایبری تبدیل می کند. علاوه بر این، کنترل دستگاه آلوده به مهاجمان اجازه می دهد تا حملات بیشتری را انجام دهند یا بدافزار اضافی را نصب کنند که حریم خصوصی و امنیت کلی کاربر را به خطر می اندازد.

کاربران اندروید باید در برابر بدافزار Antidot هوشیار باشند. در اینجا چند نکته کلیدی وجود دارد که باید به خاطر داشته باشید:

اولاً، در مورد پیام‌های ناخواسته با خودداری از کلیک کردن بر روی پیوندها یا دانلود پیوست‌ها از فرستندگان ناشناس، احتیاط کنید، حتی اگر به نظر می‌رسد که از منابع معتبری مانند Google منشاء می‌گیرند.

دوما، با دانلود انحصاری برنامه‌ها از فروشگاه‌های رسمی مانند فروشگاه Google Play، از صحت آن اطمینان حاصل کنید. قبل از نصب، اطلاعات برنامه‌نویس، بررسی‌ها و مجوزهای درخواستی برنامه را بررسی کنید.

ثالثاً، با فعال کردن احراز هویت دو مرحله‌ای، امنیت حساب خود را افزایش دهید، که یک لایه حفاظتی اضافی در برابر دسترسی غیرمجاز، حتی در صورت سرقت اعتبار، فراهم می‌کند.

هکرها بدافزارها را به عنوان برنامه‌های محبوبی مانند اینستاگرام و اسنپ‌چت پنهان می کنند تا جزئیات ورود شما را به سرقت ببرند.
تیم تحقیقاتی تهدید SonicWall Capture Labs گزارش می‌دهد که عوامل تهدید از برنامه‌های مخرب اندروید برای جعل هویت سرویس‌های آنلاین محبوبی مانند Google، Instagram، Snapchat، WhatsApp و X استفاده می‌کنند. هدف این برنامه‌ها سرقت داده‌های حساس از تلفن‌های آسیب‌پذیر Android، از جمله مخاطبین و پیام‌های متنی، گزارش تماس‌ها و رمزهای عبور.

این برنامه‌ها به دلیل استفاده از آرم‌ها و نام‌های آشنا برای فریب دادن کاربران ناآگاه و پنهان شدن در معرض دید، قانونی به نظر می‌رسند. پس از باز شدن، برنامه درخواست دسترسی به دو مجوز را می‌دهد: سرویس دسترس‌پذیری Android و مجوز سرپرست دستگاه. اگر قربانی این مجوزها را بدهد، برنامه می‌تواند کنترل کامل دستگاه را به دست آورد.

با درخواست این مجوزها، برنامه مخرب قصد دارد کنترل دستگاه قربانی را به دست آورد و به طور بالقوه به آن اجازه می دهد تا اقدامات مضر انجام دهد یا اطلاعات حساس را بدون آگاهی یا رضایت کاربر سرقت کند.

سپس برنامه مخرب با دریافت دستورالعمل های اضافی، با سرور C2 کنترل شده توسط هکرها ارتباط برقرار می کند. می‌تواند پیام‌ها را بخواند، گزارش تماس‌ها، دسترسی به داده‌های اعلان، ارسال پیام، نصب بدافزار، و باز کردن وب‌سایت‌های مخرب برای مقاصد فیشینگ را داشته باشد.

علاوه بر این، این برنامه قربانیان را به صفحات ورود جعلی سرویس‌های محبوب مانند فیس‌بوک، گیت‌هاب، اینستاگرام، نتفلیکس، پی پال، لینکدین، مایکروسافت، ایکس، وردپرس و یاهو و غیره هدایت می‌کند و از آن‌ها می‌خواهد نام کاربری و رمز عبور خود را وارد کنند.

این اطلاعات با هکرها به اشتراک گذاشته می‌شود که اگر اطلاعات شخصی حساس از جمله گواهینامه رانندگی یا شماره امنیت اجتماعی در سرویس‌هایی مانند OneDrive ذخیره شود، می‌توانند حساب‌ها را بدزدند، مرتکب کلاهبرداری یا حتی سرقت هویت شوند.

برای جلوگیری از قربانی شدن بدافزارهای فریبنده، هوشیار باشید و برنامه‌ها را از فروشگاه رسمی Google Play دانلود کنید و مطمئن شوید که قانونی هستند و از فروشگاه‌های شخص ثالث یا وب‌سایت‌های مشکوک نیستند. مراقب برنامه‌هایی باشید که مجوزهای بیش از حد درخواست می کنند، به ویژه آنهایی که به عملکرد اصلی برنامه مرتبط نیستند.

محققان امنیت سایبری در پلتفرم امنیت سایبری Veriti کشف کردند که موج جدیدی از حملات سایبری روی داده های حساس در بخش آموزش کشورهای اروپایی و امریکا متمرکز شده است. این کمپین از ترکیب دو نوع بدافزار استفاده می‌کند: Agent Tesla و Taskun.
 

Agent Tesla یک بدافزار بدنام و نرم افزار جاسوسی پیچیده است که برای سرقت ارزشمندترین داده های کاربر طراحی شده است. این بدافزار برای گرفتن کلید، اسکرین شات و حتی اعتبارنامه ورود به سیستم برای برنامه های مختلف از جمله مرورگرها و VPN ها شناخته شده است. با این اطلاعات دزدیده شده، مهاجمان به حساب های کاربری و سیستم های بالقوه حساس دسترسی غیرمجاز پیدا می کنند.

از سوی دیگر، طبق پست وبلاگ Veriti، Taskun به عنوان شریک کامل برای فعالیت های مخرب مامور تسلا عمل می کند. این با به خطر انداختن یکپارچگی سیستم کار می‌کند و یک درب پشتی برای عامل تسلا ایجاد می‌کند تا بتواند به آن نفوذ کند و پایداری ایجاد کند. این امر به عامل تسلا اجازه می دهد تا برای مدت طولانی ناشناخته بماند، نفوذ خود را در سیستم عمیق تر کرده و سرقت اطلاعات را به حداکثر می رساند.

مهم است که تاکید کنیم تاسکون و عامل تسلا اخیراً به عنوان همدست در کمپین مشابهی کشف شدند. محققان مشاهده کردند که TicTacToe Dropper دستگاه های ویندوزی را هدف قرار می دهد و متعاقباً آنها را با Leonem، AgentTesla، SnakeLogger، LokiBot، Remcos، RemLoader، Sabsik، Taskun، Androm و Upatre آلوده می کند.

در مورد جدیدترین کمپین، این حمله از طریق پیوست‌های ایمیل مخرب با سوء استفاده از آسیب‌پذیری‌های نرم‌افزار سیستم‌عامل ویندوز مانند مایکروسافت آفیس، یکی از نرم‌افزارهای مورد سوءاستفاده در حملات بدافزار، انجام می‌شود.

از آنجا که موسسات آموزشی و سازمان‌های دولتی اغلب منبعی از داده‌های حساس را در اختیار دارند که آنها را به اهداف اصلی مجرمان سایبری تبدیل می‌کند. این داده‌ها می تواند شامل سوابق دانشجویی، یافته های تحقیق، شماره های تامین اجتماعی و سایر اطلاعات محرمانه باشد.

موسسات می توانند با اعمال سریع وصله های امنیتی، آموزش کاربران در مورد آگاهی از امنیت سایبری و اجرای یک رویکرد امنیتی چند لایه، دفاع امنیت سایبری خود را در برابر تهدیدات سایبری تقویت کنند. اصلاح منظم آسیب‌پذیری‌ها، ارائه آموزش‌های آگاهی از امنیت سایبری و اجرای یک رویکرد امنیتی چندلایه می‌تواند به محافظت از داده‌های حساس کمک کند.

GPT-4 OpenAI در حال حاضر بهترین ابزار هوش مصنوعی مولد در بازار است، اما این بدان معنا نیست که ما به آینده نگاه نمی کنیم. با توجه به اینکه سم آلتمن، مدیر عامل OpenAI به طور مرتب در مورد GPT-5 نکاتی را ارائه می دهد، به نظر می رسد به زودی شاهد یک مدل هوش مصنوعی جدید و ارتقا یافته خواهیم بود.

GPT-5 OpenAI چیست؟
GPT-5 جانشین بسیار مورد انتظار برای مدل GPT-4 AI OpenAI است که به طور گسترده انتظار می رود قوی ترین مدل مولد در بازار باشد. در حالی که در حال حاضر تاریخ انتشار رسمی برای GPT-5 وجود ندارد، نشانه هایی وجود دارد که می تواند در اوایل تابستان 2024 منتشر شود. جزئیات بسیار کمی در مورد این مدل در حال حاضر شناخته شده است، اما چندین چیز را می توان با مقداری از آن بیان کرد. یقین - اطمینان - قطعیت

OpenAI یک علامت تجاری برای این نام در اداره ثبت اختراع و علائم تجاری ایالات متحده ثبت کرده است. چندین مدیر OpenAI در مورد قابلیت های احتمالی این مدل بحث کرده اند یا به آنها اشاره کرده اند. سام آلتمن، مدیر عامل OpenAI، بارها و بارها در طی مصاحبه مارس 2024 در یوتیوب با لکس فریدمن به این مدل اشاره کرد.

همه اینها به یک واقعیت هیجان انگیز اشاره می کنند: GPT-5 در راه است! گفتنی است، در این مرحله خیلی چیزها حدس و گمان هستند. اما چند چیز وجود دارد که امیدواریم ببینیم و نسبتاً از دیدن آن در مدل مطمئن هستیم. در اینجا به برخی از آنها اشاره می کنیم:

1. چندوجهی بیشتر
یکی از جالب‌ترین پیشرفت‌ها در خانواده مدل‌های هوش مصنوعی GPT، چندوجهی بودن است. برای وضوح، چندوجهی توانایی یک مدل هوش مصنوعی برای پردازش بیشتر از متن بلکه انواع دیگر ورودی‌ها مانند تصاویر، صدا و ویدئو است. چندوجهی بودن یک معیار پیشرفت مهم برای خانواده مدل‌های GPT در آینده خواهد بود.

با توجه به اینکه GPT-4 از قبل در مدیریت ورودی و خروجی تصویر ماهر است، بهبودهایی که پردازش صدا و تصویر را پوشش می دهند نقطه عطف بعدی برای OpenAI هستند و GPT-5 مکان خوبی برای شروع است. گوگل در حال حاضر با این نوع چندوجهی با مدل Gemini AI خود پیشرفت جدی کرده است. برای OpenAI غیرمشخص است که پاسخ ندهد. بنابراین، برای GPT-5، ما انتظار داریم که بتوانیم با ویدیوها بازی کنیم - ویدیوها را به عنوان درخواست آپلود کنیم، ویدیوها را در حال حرکت ایجاد کنیم، ویدیوها را با پیام های متنی ویرایش کنیم، بخش هایی را از ویدیوها استخراج کنیم و صحنه های خاصی را از فایل های ویدیویی بزرگ پیدا کنیم. انتظار داریم بتوانیم کارهای مشابهی را با فایل های صوتی انجام دهیم. سوال بزرگی است، بله. اما با توجه به سرعت توسعه هوش مصنوعی، انتظار بسیار منطقی است.

2. پنجره زمینه بزرگتر و کارآمدتر
با وجود اینکه یکی از پیچیده‌ترین مدل‌های هوش مصنوعی در بازار است، خانواده مدل‌های هوش مصنوعی GPT یکی از کوچک‌ترین پنجره‌های زمینه را دارد. به عنوان مثال، Claude 3 Anthropic دارای یک پنجره زمینه 200000 توکن است، در حالی که Gemini گوگل می تواند 1 میلیون توکن (128000 برای استفاده استاندارد) را پردازش کند. در مقابل، GPT-4 دارای یک پنجره زمینه نسبتا کوچکتر از 128000 توکن است که تقریباً 32000 توکن یا کمتر برای استفاده در رابط هایی مانند ChatGPT در دسترس است. با آمدن چند وجهی پیشرفته به تصویر، یک پنجره زمینه بهبود یافته تقریباً اجتناب ناپذیر است. شاید افزایش ضریب دو یا چهار کافی باشد، اما امیدواریم که شاهد چیزی در حد 10 باشیم. این به GPT-5 اجازه می دهد تا اطلاعات بسیار بیشتری را به شیوه ای بسیار کارآمدتر پردازش کند. اکنون، یک پنجره زمینه بزرگتر همیشه به معنای بهتر نیست. بنابراین، به جای افزایش پنجره زمینه، مایلیم افزایش کارایی پردازش زمینه را ببینیم.

ببینید، یک مدل ممکن است یک پنجره زمینه یک میلیون رمزی داشته باشد (حدود 700000 کلمه ظرفیت دارد) اما وقتی از شما خواسته می‌شود یک کتاب 500000 کلمه‌ای را خلاصه کند، نمی‌تواند یک خلاصه جامع تولید کند، زیرا علیرغم داشتن شرایط، نمی‌تواند به اندازه کافی کل متن را پردازش کند. ظرفیت انجام این کار در تئوری اینکه می‌توانید یک کتاب 500 هزار کلمه‌ای بخوانید، به این معنا نیست که می‌توانید همه چیز را در آن به خاطر بیاورید یا آن را به طور معقول پردازش کنید.

3. عوامل GPT
شاید یکی از هیجان‌انگیزترین احتمالات نسخه GPT-5، اولین GPT Agents باشد. در حالی که احتمالاً اصطلاح "تغییر کننده بازی" در هوش مصنوعی بیش از حد مورد استفاده قرار گرفته است، عوامل GPT واقعاً به هر معنای عملی تغییر دهنده بازی هستند. اما این چقدر بازی را تغییر می دهد؟
در حال حاضر، مدل‌های هوش مصنوعی مانند GPT-4 می‌توانند به شما در تکمیل یک کار کمک کنند. آنها می توانند یک ایمیل بنویسند، یک جوک بزنند، یک مسئله ریاضی را حل کنند یا یک پست وبلاگ برای شما پیش نویس کنند. با این حال، آنها فقط می توانند آن کار خاص را انجام دهند و نمی توانند مجموعه ای از وظایف مرتبط را که برای تکمیل کار شما ضروری است، انجام دهند.

فرض کنید شما یک توسعه دهنده وب هستید. به عنوان بخشی از شغل خود، از شما انتظار می رود که کارهای زیادی انجام دهید: طراحی، نوشتن کد، عیب یابی و موارد دیگر. در حال حاضر، تنها می‌توانید بخشی از این وظایف را در یک زمان به مدل‌های هوش مصنوعی واگذار کنید. شاید بتوانید از مدل GPT-4 بخواهید یک کد برای صفحه اصلی بنویسد، سپس از آن بخواهید که این کار را برای صفحه تماس، و سپس برای صفحه درباره و غیره انجام دهد. باید این کارها را به صورت تکراری انجام دهید. و وظایفی وجود دارد که مدل ها به سادگی نمی توانند آنها را تکمیل کنند.

این فرآیند تکراری برای تحریک مدل‌های هوش مصنوعی برای وظایف فرعی خاص، زمان‌بر و ناکارآمد است. در این سناریو، شما – توسعه‌دهنده وب – عامل انسانی هستید که مسئول هماهنگی و تشویق مدل‌های هوش مصنوعی یک کار در یک زمان هستید تا اینکه مجموعه کاملی از وظایف مرتبط را تکمیل کنید.
GPT Agents نوید ربات‌های خبره تخصصی را می‌دهد که با هماهنگی GPT-5، می‌توانند به طور مستقل تمام زیرمجموعه‌های یک کار پیچیده را به‌طور مستقل کنترل کنند. تاکید بر "خودانگیختگی" و "خودمختار".

4. توهم کمتر
اگرچه OpenAI راه درازی را در مقابله با توهمات در مدل‌های هوش مصنوعی خود پیموده است، اما آزمون تورنسل واقعی برای GPT-5 توانایی آن برای رسیدگی به موضوع دائمی توهمات است، که مانع از پذیرش گسترده هوش مصنوعی در ریسک‌های بالا شده است. حوزه های ایمنی حیاتی مانند مراقبت های بهداشتی، هوانوردی و امنیت سایبری. اینها همه حوزه هایی هستند که از دخالت سنگین هوش مصنوعی سود زیادی می برند، اما در حال حاضر از هرگونه پذیرش قابل توجهی اجتناب می کنند. برای وضوح، توهم در این زمینه به موقعیت‌هایی اشاره می‌کند که در آن مدل هوش مصنوعی اطلاعاتی با صدایی قابل قبول اما کاملاً ساختگی را با درجه بالایی از اطمینان تولید و ارائه می‌کند.

سناریویی را تصور کنید که در آن GPT-4 در یک سیستم تشخیصی برای تجزیه و تحلیل علائم بیمار و گزارش های پزشکی یکپارچه شده است. یک توهم می تواند هوش مصنوعی را با اطمینان تشخیص نادرست ارائه دهد یا یک دوره درمانی بالقوه خطرناک را بر اساس حقایق تصوری و منطق نادرست توصیه کند. عواقب چنین خطایی در حوزه پزشکی می تواند فاجعه بار باشد.

رزروهای مشابه در مورد سایر زمینه‌های پر پیامد مانند هوانوردی، انرژی هسته‌ای، عملیات دریایی و امنیت سایبری اعمال می‌شود. ما انتظار نداریم که GPT-5 مشکل توهم را به طور کامل حل کند، اما انتظار داریم که احتمال وقوع چنین حوادثی را به میزان قابل توجهی کاهش دهد.

همانطور که ما مشتاقانه منتظر عرضه رسمی این مدل هوش مصنوعی بسیار مورد انتظار هستیم، یک چیز مسلم است: GPT-5 این پتانسیل را دارد که مرزهای آنچه را که با هوش مصنوعی ممکن است بازتعریف کند و عصر جدیدی از همکاری و نوآوری انسان و ماشین را آغاز کند.

منبع
https://www.makeuseof.com/gpt-5-features-we-want-to-see/

بدافزار جدید Migo سرورهای لینوکس را هدف قرار می دهد و از Redis برای سرقت رمزارز سوء استفاده می کند. استفاده از روت کیت حالت کاربر، فعالیت آن را پنهان می کند و تشخیص را دشوار می کند.

پژوهشگران Cado Security Labs فاش کردند که یک کمپین بدافزار پیچیده لینوکس کشف شده است که Redis، یک سیستم محبوب فروشگاه داده را هدف قرار می دهد تا با استفاده از "دستورات تضعیف سیستم" دسترسی اولیه را به دست آورد.

محققان Cado فاش کردند که بدافزاری که Migo نام دارد، از Redis برای سرقت رمزارز سوء استفاده می کند. مهاجمان دستوراتی را روی سرورهای Redis هدف خود اجرا می‌کنند تا گزینه‌های پیکربندی را غیرفعال کنند و قبل از استقرار بارگذاری، آنها را آسیب‌پذیر کنند.

محموله اصلی، Migo، یک باینری Golang ELF است که یک نصب کننده XMRig را از GitHub بازیابی می کند. دستورات تضعیف سیستم Redis برای غیرفعال کردن گزینه‌های پیکربندی، مانند حالت محافظت شده و فقط خواندنی، با استفاده از دستورات CLI برای اجرای بارهای مخرب از منابع خارجی مانند Pastebin برای استخراج ارز دیجیتال در پس‌زمینه استفاده می‌شود.

حالت محافظت شده یک حالت عملکرد سرور Redis است که در نسخه 3.2.0 برای کاهش قرار گرفتن در معرض شبکه بالقوه معرفی شده است. این فقط اتصالات را از رابط حلقه بک می پذیرد و احتمالاً در دسترسی اولیه غیرفعال است تا به مهاجمان اجازه ارسال دستورات اضافی را بدهد.

برعکس، ویژگی Replica-read-Only در Redis از نوشتن تصادفی روی کپی‌ها که ممکن است منجر به عدم همگام‌سازی شوند، جلوگیری می‌کند. محققان Cado گزارش می دهند که از این ویژگی برای تحویل محموله مخرب استفاده می کند و مهاجمان Migo احتمالاً آن را برای بهره برداری سرور Redis در آینده غیرفعال می کنند.

Migo از مبهم سازی زمان کامپایل و روت کیت حالت کاربر "libprocesshider" برای مخفی کردن فرآیندها و مصنوعات استفاده می کند، که تشخیص و کاهش تهدید را برای تحلیلگران امنیتی دشوار می کند. هنگامی که ماینر نصب شد، Migo پیکربندی XMRig را برای جستجوی اطلاعات سیستم، از جمله کاربران وارد شده و محدودیت های منابع تنظیم می کند.

همچنین تعداد صفحات عظیم موجود در سیستم را با استفاده از پارامتر vm.nr_hugepages روی 128 تنظیم می کند. مت مویر، محقق امنیتی Cado Security در یک پست وبلاگ خاطرنشان کرد: این اقدامات برای بدافزارهای رمزنگاری کاملاً معمولی هستند.

دستورات پوسته را برای کپی کردن باینری، غیرفعال کردن SELinux، شناسایی اسکریپت های حذف، اجرای ماینر، کشتن فرآیندهای رقیب، ثبت ماندگاری و جلوگیری از ترافیک خروجی به آدرس های IP خاص و دامنه‌ها اجرا می کند.

علاوه بر این، Migo برای تداوم به سرویس سیستم و تایمر متکی است و توسعه‌دهندگان نمادها و رشته‌ها را در ساختار pclntab مبهم کرده‌اند تا فرآیند تحلیل بدافزار را پیچیده کنند. دخالت یک روت کیت حالت کاربر همچنین پزشکی قانونی پس از حادثه میزبان های در معرض خطر را پیچیده می کند و libprocesshider مصنوعات روی دیسک را پنهان می کند.

ظهور Migo نشان می دهد که مهاجمان متمرکز بر ابر به طور مداوم تکنیک های خود را اصلاح می کنند و بر بهره برداری از خدمات وب سایت متمرکز هستند. محققان نتیجه گرفتند که آنها از دستورات تضعیف سیستم Redis برای غیرفعال کردن ویژگی های امنیتی استفاده کردند، حرکتی که قبلاً در کمپین‌هایی که از Redis برای دسترسی اولیه استفاده می کردند گزارش نشده بود.