تحلیلگران امنیت سایبری نسبت به یک کمپین تازه بدافزاری هشدار دادهاند که با هدف قرار دادن گیمرها، فعالان حوزه رمزارز و کاربران پلتفرمهای تبادل ارز دیجیتال، اقدام به سرقت اطلاعات حساس کاربران از طریق بازیهای ظاهراً بیخطر میکند. سطح هشدار در این پرونده «زیاد» اعلام شده و کارشناسان آن را یک تهدید جدی برای داراییهای دیجیتال و هویت سایبری کاربران ارزیابی کردهاند.
بر اساس مستندات فنی منتشرشده از سوی کارشناسان امنیت در این کمپین که توسط سودجویان برپا شده، مهاجمان با سوءاستفاده از علاقه گیمرها به بازیهای مستقل، نسخههایی از بازیهایی مانندBaruda Quest و Warstorm Fire و Dire Talon را با کدهای مخرب آلوده کرده و در بسترهایی چون یوتیوب یا گروههای Discord تبلیغ میکنند و گزارش کاربران حکایت از این دارد که این موارد در کانالها و گروههای ایرانی نیز به کرات دیده شده است. پس از دانلود و نصب این بازیها توسط کاربر، فایل اجرایی با استفاده از بسته نصب NSIS (Nullsoft) فعال شده و بدافزاری از خانواده «Fewer Stealer» را روی سیستم کاربر اجرا میکند.
روش نفوذ: از Electron تا Headless Chrome
این بدافزار، از پلتفرمهایی مانند Electron و Node.js استفاده میکند تا روی سیستم قربانی اجرا شود. در صورتی که سیستم مجازی (مثل VMware یا VirtualBox) شناسایی شود، بدافزار غیرفعال باقی میماند تا تحلیلگران امنیتی را فریب دهد. همچنین در سیستمهایی که بهصورت Headless (بدون رابط گرافیکی) اجرا میشوند، بدافزار مستقیماً به حافظه مرورگر حمله میکند و دادهها را استخراج مینماید.
آنطور که کارشناسان هشدار دادهاند اگر بدافزار بهدرستی اجرا شود، قادر به جمعآوری اطلاعات زیر است:
- رمزهای عبور و کوکیهای ذخیرهشده در مرورگر
- توکنهای Discord
- کلیدهای خصوصی کیفپولهای رمزارز
- Session Keyها در اپلیکیشنهایی مانند Telegram و Steam
این دادهها در قالب فایلهای ZIP ذخیره و از طریق سایتهایی مانند gofile.io یا tmpfiles.org به سرور مهاجم منتقل میشوند.
تحلیلگران هشدار میدهند که ترکیب جذابیت بازیهای رایگان و کمحجم با شیوههای پیچیده بدافزاری، این کمپین را به یک ماجرای خطرناک و تهدیدآمیز برای کاربران رمزارز و پلتفرمهای معاملاتی تبدیل کرده است.
راهکارهای محافظتی که توسط تیمهای امنیتی اعلام شده به شرح زیر است:
- هرگز فایل اجرایی را از منابع ناشناس یا نامعتبر دانلود نکنید
- از اجرای بازیها یا اپلیکیشنهایی که بهصورت رایگان و بدون مرجع معتبر تبلیغ میشوند، خودداری کنید
- آنتیویروسها و ابزارهای شناسایی رفتار مشکوک (Behavioral Analysis) را روی سیستم فعال نگه دارید
- از کیفپولهای سختافزاری برای ذخیره رمزارز استفاده کنید
- مراقب فعالیتهای مرورگر حتی در حالت بدونپنجره باشید (Headless Mode)
source