در برابر جاسوس‌افزار ایرانی از دارایی‌های دیجیتال خود محافظت کنید

طی چند ماه گذشته با افزایش فیلترینگ، استفاده از ابزار‌های فیلترشکن در میان عموم مردم رواج پیدا کرده است و در این بین کلاهبرداران و سودجویان در تلاش هستند تا با ارائه برنامه‌هایی با ظاهر فیلترشکن، به اطلاعات حساس کاربران از جمله رمز‌های عبور و دارایی‌های مالی دست پیدا کنند.

موضوعی که در زمان فیلترینگ تلگرام نیز دیده شد و برخی برنامه‌ها با ظاهر مشابه تلگرام عرضه شدند که در واقع هدف اصلی آن‌ها هک حساب‌ها و دریافت اطلاعات بود، موضوعی که در نهایت به لو رفتن اطلاعات میلیون‌ها حساب تلگرامی ایرانی منجر شد.

اتفاقی که به نظر می‌رسد طی چند ماه گذشته در فضای ارز‌های دیجیتال رخ داده است و یک جاسوس‌افزار، حساب هزاران کاربر در صرافی‌های ارز دیجیتالی را تحت تأثیر قرار داده است.

جاسوس‌افزار ۲۰Speed و دزدی اطلاعات

در دی ماه ۱۴۰۱، شرکت امنیتی شناخته شده Bitdefender گزارشی منتشر کرد که در آن نسبت به یک جاسوس‌افزار ایرانی هشدار داده شده بود. این جاسوس‌افزار که ۲۰Speed نام دارد، با نقاب وی پی ان فعالیت می‌کند و فعالیت خود را از سال ۲۰۱۵ آغاز کرده است.

دریافت فایل گزارش بیت دیفندر در مورد ۲۰Speed 

طی چند ماه گذشته و با محدود شدن دسترسی کاربران به اینترنت، ۲۰Speed از جمله برنامه‌هایی بود که به صورت گسترده تبلیغ شد و کاربران برای رفع تحریم‌ها و فیلترینگ این نرم‌افزار را به دیگران پیشنهاد کرده‌اند.

در حالی که در سال‌های ابتدایی ۲۰Speed تنها یک وی پی ان معمولی بود، اما براساس گزارش شرکت Bitdefender به نظر می‌رسد از نسخه ۸٫۹ ویندوز این برنامه، کد‌های جاسوس‌افزار به آن اضافه شده و کار سرقت اطلاعات آغاز شده است.

براساس هشدار Bitdefender، این جاسوس‌افزار در پوشش یک نرم‌افزار وی پی ان و رفع تحریم، اطلاعات خصوصی و مهم کاربران از جمله عکس‌ها، اسناد و رمز‌های عبور را به سرقت برده است. با توجه به نسخه شناسایی شده، به نظر می‌رسد فرآیند سرقت اطلاعات کاربران توسط ۲۰Speed به مدت بیش از یک سال است که انجام می‌شود.

متأسفانه وبسایت این وی پی ان طی چند ماه گذشته صد‌ها هزار بازدید داشته است و پیش‌بینی می‌شود حداقل ۱۰۰ هزار کاربر در سراسر کشور نسخه ویندوز این بدافزار را نصب کرده‌اند.

واکنش ۲۰Speed به گزارش بیت دفندر

تیم این وی پی ان تنها چند روز پس از هشدار Bitdefender در کانال تلگرامی خود اعلام می‌کند که با توجه به حملات گسترده‌ای که طی چند ماه گذشته به سرور‌های آن‌ها انجام شده است، هکر‌ها فایل نصبی نرم‌افزار ویندوز آن‌ها را با یک فایل مخرب جایگزین کرده‌اند و این بدافزار کاربرانی را در شهریور ماه تحت تأثیر قرار داده است.

با این وجود نکات مهمی در این اطلاعیه وجود دارد که باید به آن توجه داشت؛ به گفته ۲۰Speed تنها برای چند ساعت نرم‌افزار مخرب توسط کاربران دانلود شده است، پس چگونه کد‌های مخرب در نسخه‌های ۸٫۹ تا نسخه ۹٫۲ برنامه ویندوز آن‌ها وجود داشته است؟

این نسخه‌ها با فاصله از یکدیگر منتشر شده‌اند و غیرممکن است که تمام این بدافزار‌ها توسط “حملات هکر‌ها” ایجاد شده باشند. علاوه بر آن، اگر بدافزار یک حمله تخریبی برای تیم ۲۰Speed بوده است، پس چرا این تیم به کاربران خود هشدار ندادند و از آلوده شدن هرچه بیشتر و سرقت اطلاعات ادامه دار جلوگیری نکردند؟

به نظر می‌رسد این اطلاعیه صرفاً برای حفظ ظاهر منتشر شده است و با توجه به لو رفتن این موضوع، ۲۰Speed فعالیت خود را تا به امروز به بهانه بهبود زیرساخت متوقف کرده است.

کاربران صرافی‌های ارز دیجیتال، قربانی جاسوس‌افزار ۲۰Speed

به نظر می‌رسد که فعالیت‌های این بدافزار شامل ۷۰ هزار کاربر ایرانی فعال در صرافی‌های ارز دیجیتال نیز شده است.

لازم به ذکر است با توجه به اهمیت این موضوع، مجموعه سرمایکس همزمان با بیت دفندر متوجه فعالیت‌های مخرب این بدافزار شده و موضوع را به پلیس فتا نیز انتقال داده است. به همین خاطر، سرمایکس (ارزجوی سابق) برای مصون ماندن کاربران از این سرقت، امنیت سایت و کیف پول را افزایش داده است؛ با توجه به اقدامات سریع امنیتی صرافی سرمایکس، تا به امروز این صرافی گزارشی نسبت به سرقت دارایی کاربران دریافت نکرده است.

اما این سرقت دارایی و اطلاعات توسط ۲۰Speed چگونه انجام شده است؟

روش سرقت اطلاعات ۲۰Speed و راه‌های جلوگیری

بررسی‌ها نشان می‌دهد که این جاسوس‌افزار، از کی لاگر (KeyLogger) استفاده می‌کرده است تا یوزرنیم و رمز‌های عبور کاربران را بدست آورد. علاوه بر آن، این بدافزار به اسناد و فایل‌ها نیز دسترسی داشته است و کاربرانی که رمزعبور و کلید خصوصی کیف پول خود را در سیستم نگهداری می‌کردند نیز مورد حمله قرار گرفته‌اند.

برای افزایش امنیت، حتی اگر تا به امروز از نرم‌افزار ۲۰Speed استفاده نکرده‌اید پیشنهاد می‌کنیم رمز‌های عبور و اطلاعات حساس مرتبط با کیف پول خود را بر روی کاغذ و یا دیگر موارد مشابه فیزیکی بنویسید و آن‌ها را در فضای کامپیوتر و یا گوشی خود نگهداری نکنید.

اما اگر شما از استفاده‌کنندگان ۲۰Speed بوده‌اید، مهم است هرچه زودتر تمام اطلاعات و رمز‌های عبور خود را از طریق یک سیستم دیگر تغییر دهید. همچنین در صورتی که طی چند ماه گذشته به طور ناگهانی از کیف پول خود لاگ اوت شده‌اید، می‌تواند نشانه‌ای از تلاش هکر‌ها برای مجبور کردن شما به وارد کردن دوباره رمز و سرقت آن با استفاده از کی لاگر باشد. بنابراین مهم است هرچه زودتر از طریق یک سیستم و یا دستگاه موبایل دیگر، رمز‌ها و اطلاعات خود را تغییر دهید.

هم اکنون افرادی که توسط این بدافزار مورد حمله قرار گرفته‌اند و دارایی‌های آن‌ها به سرقت رفته است می‌توانند با مدارک خود به پلیس فتا مراجعه کنند تا پیگیری‌ها آغاز شود.

در پایان، اهمیت حفاظت از اطلاعات و دارایی‌ها را در بازار ارز‌های دیجیتال جدی بگیرید و به یاد داشته باشید که بدافزار ۲۰Speed تنها یک نمونه از تلاش هکر‌ها برای سرقت دارایی کاربران است.