آنچه درباره Clipboard Hijacking باید بدانید

با گسترش آشنایی مردم با  تکنولوژی بلاکچین و همچنین افزایش قیمت ارزهای دیجیتال، راه‌های به سرقت بردن رمز‌ارزها نیز تنوع بسیاری یافته است. یکی از روش‌های به سرقت بردن دارایی‌های دیجیتال حمله ربودن کلیپ بورد (Clipboard Hijacking) در این روش سارقان با سرقت کلیپ بورد کاربران به اطلاعات حافظه کلیپ بورد قربانیان خود دسترسی پیدا می‌کنند. به عبارت ساده‌تر در این نوع حملات سارق می‌تواند اطلاعات دلخواه خودش را جایگزین اطلاعاتی بکند که کاربر در کلیپ بورد خود کپی کرده است و یا به اطلاعاتی که کاربر در کلیپ بورد خود کپی کرده است، دسترسی پیدا کند و آن‌ها را به سرقت ببرد. در این مقاله به نحوه انجام حمله Clipboard Hijacking می‌پردازیم، چند مورد از این دست حملات در بازار کریپتو را معرفی می‌کنیم و در نهایت راه‌های جلوگیری از حملات کلیپ بورد را توضیح می‌دهیم.

کلیپ بورد چیست؟

برای شناخت و درک حمله Clipboard Hijacking باید ابتدا با مفهوم کلیپ بورد آشنا شویم. کلیپ بورددر حقیقت یک حافظه موقت برای نگهداری اطلاعات است، که توسط آن می‌توان اطلاعات کامپیوتر یا تلفن همراه را جابجا کرد. حتما تا به حال در کامپیوتر یا تلفن همراه خود اطلاعات، متن، رمز عبور، رمز پویا و غیره را کپی و در جایی دیگر این اطلاعات را Paste کرده‌اید. کلیپ بورد در حقیقت همان حافظه‌ای است که برای انجام این کار از آن استفاده می‌کنید. اطلاعات شما پس از اجرای دستور کپی و یا کات در حافظه موقت Clipboard ذخیره می‌شود و پس از انتقال یا Paste کردن آن‌ها به حافظه اصلی دستگاه انتقال پیدا می‌کند.

حمله Clipboard Hijacking چیست؟

حملات سرقت کلیپ بورد با دو روش مختلف انجام می‌پذیرد. در روش اول مهاجم کلیپ بورد کاربر را مورد سرقت قرار داده و سپس از اطلاعات آن برای سرقت استفاده می‌کند. در روش دوم مهاجم اطلاعات مد نظر خودش را به کلیپ بورد قربانی، انتقال می‌دهد. در ادامه این دو روش را توضیح می‌دهیم:

روش اول

با پیشرفت صنعت بلاک چین استفاده از این صنعت رواج بسیاری یافته است. افراد بسیاری در سراسر دنیا از رمز‌ارزها برای تجارت، ذخیره ارزش، معاملات روزانه و غیره استفاده می‌کنند. به همین دلیل نسل جدیدی از سارقان و بد‌افزار‌های مختلف به منظور به سرقت بردن دارایی افراد به وجود آمده‌اند.

در حملات کلیپ بورد سارقان با نوشتن یک بد‌افزار سعی می‌کنند تا اطلاعات مربوط به کیف پول ارزهای دیجیتالی این کاربران را سرقت کرده و اموال آن‌ها را به سرقت ببرند. در این روش هکرها با نوشتن و تعریف یک بد‌افزار با زبان‌های مختلف برنامه‌نویسی، که ممکن است به عنوان یک اپلیکیشن، لینک، افزونه بر روی مرورگرها و غیره باشد، اطلاعات کلیپ بورد کاربر را به سرقت برده و رمز‌ارزهای او را بربایند. کاربران حوزه بلاکچین هنگام استفاده از کیف پول‌های خود باید توجه داشته باشند که چه اطلاعاتی را به کلیپ بورد خود انتقال می‌دهند؛ زیرا اگر مورد حمله کلیپ بورد قرار گرفته باشند، سارق می‌تواند به پسورد یا کلید خصوصی کاربر دسترسی پیدا کرده و دارایی‌های او را مورد سرقت قرار دهد.

روش دوم:

در این روش مهاجمان با هک کردن کلیپ بورد کاربران و جایگزینی اطلاعات خود با اطلاعات کاربران دارایی‌های آن‌ها را به سرقت می‌برند؛ به طور مثال گروه Aggah یکی از گروه‌های ساخت و انتشار بد‌افزار‌ است. شیوه کار این گروه استفاده ماهرانه از زیرساخت‌های رایگان و متن باز برای انجام حملات مختلف است. گروه آگاه از بد‌افزارهایی به نام Mana Tools برای استفاده در حملات خود استفاده می‌کند. Mana Tools‌ نام ابزاری برای توزیع و مدیریت بد‌افزارهاست که به هدف هک و سرقت اطلاعات یا دارایی‌های کاربران تولید شده است. این گروه قبلا با ساخت برنامه‌ها و سایت‌های مختلفی که خدمات رایگانی از جمله ساخت رایگان وبلاگ، مرورگر وب و غیره را در اختیار کاربران قرار می‌داده است، اقدام به هک و سوء استفاده از اطلاعات کاربران کرده‌اند.

طبق اطلاعات بدست آمده و گزارش سایت Riskiq.Com گروه Aggah به‌تازگی دوباره فعالیت خود را در بازار ارز‌های دیجیتال و با حمله Clipboard Hijacking آغاز کرده است. روشی که این گروه برای سرقت‌های خود به کار می‌برد هک کلیپ بورد کاربران و جایگزینی آدرس ولت‌های خود به جای آدرس پیست شده توسط کاربران است. در این روش کاربری که قصد انتقال رمز‌ارزهای خود به یک کیف پول دیگر را دارد، آدرس مقصد را وارد می‌کند و مهاجمان که از قبل کاربر را مورد حمله کلیپ بورد قرار داده‌اند، آدرس کیف پول خودشان را جایگزین آدرس وارد شده توسط کاربر می‌کنند و دارایی‌های دیجیتالی او را به سرقت می‌برند.

به گزارش سایت RiskIQ تیم آن‌ها توانسته است در اوایل اکتبر سال ۲۰۲۱ (اواخر سال ۱۳۹۹) کدهای VBScript را در URL‌های مخربی را که از اسم سایت BlogSpot استفاده می‌کند، مشاهده کنند. محققان این سایت پس از بررسی دقیق‌تر URL‌ها متعددی را حاوی دستورات  VBScript و PowerShell شناسایی کردند، که این کدها باعث ربودن کلیپ بورد کاربران می‌شوند. تکنیک به کار برده شده در این کدها باعث می‌شود تا مهاجمان با ربودن آدرس‌های کیف پول قربانیان بتوانند آدرس کیف پول خود را با این آدرس‌ها جایگزین کرده و دارایی قربانیان را به سرقت ببرند. این بد‌افزارها تروجان‌هایی را در سیستم قربانیان نصب می‌کنند و پس از نصب، این تروجان‌ها از طریق زیردامنه‌های DDNS، در سیستم کاربران درب پشتی (backdoor) ایجاد کرده و اطلاعات آن‌ها را به سرقت می‌برند.

محققان RiskIQ گمان می‌کنند که تیم هکری Aggah از ایمیل‌ها برای ارائه URL‌های حاوی فایل‌های مخرب استفاده کرده و فرآیند حمله Clipboard Hijacking خود را با این دست از ایمیل‌ها آغاز می‌کنند. آن‌ها در بررسی حساب یکی از قربانیانی که مورد این حملات قرار گرفته بود، متوجه شدند این قربانی ایمیلی با مضمون «درخواست فوری اطلاعات» که حاوی یک لینک برای اتصال کاربر به URL سایت BlogSpot بوده، دریافت کرده است. این لینک حاوی کد VBScript بوده و قربانی با کلیک کردن روی آن باعث شده تا این بد‌افزار روی کامپیوترش نصب شده و فرایند ربودن آدرس‌های رمز‌ارز‌های او از کلیپ بورد و جایگزین کردن آن‌ها با آدرس‌های دیگر آغاز شود.

معمولا اولین بلاک از کدهایی که هکرها در بد‌افزار VBScript استفاده می‌کنند، کدهایی برای بستن برنامه‌های مایکروسافت ورد و اکسل است. این کد‌ها همچنین تنظیمات متعدد رجیستری را برای غیرفعال کردن هشدارهای ماکرو و غیرفعال کردن استفاده از نمایش محافظت شده در مایکروسافت پاورپوینت، ورد و اکسل تغییر می‌دهند.

هکرها در دومین بلاک در کدهای بد‌افزار VBScript برای غیر فعال‌سازی Windows Defender استفاده می‌کنند. این کدها کلیپ بورد قربانی را ذخیره کرده و انجام این وظایف را زمان‌بندی می‌کنند. به طور کلی بد‌افزار‌ها در حمله کلیپ بورد، ۴ وظیفه به عهده دارند که به شرح زیر است:

  1-  غیرفعال کردن Windows Defender

 2-   ربودن کلیپ بورد

   3- پیکربندی وظایف برنامه ریزی شده

 4-   استقرار فایل‌های مخرب

محققان تیم RiskIQ توانسته‌اند ۷ آدرس از رمز‌ارزهای مختلف را شناسایی کنند، که در اکثر بدافزار‌ها برای جایگزینی با آدرس قربانی استفاده می‌شوند. این ۷ رمز‌ارز عبارتند از:

    Bitcoin

    Ethereum

    XMR

    XLM

    XRP

    LTC

    Doge

راه‌های جلوگیری از حمله Clipboard Hijacking چیست؟

آدرس‌ نقل و انتقال رمز‌ارزها در کیف پول‌های مختلف، از یک سری اعداد و کلمه‌ها تشکیل شده است. در بیشتر مواقع کاربران در هنگام انتقال رمز‌ارزها توجهشان به این است که آیا شبکه‌ بلاک چینی که قصد انتقال دارایی‌هایشان به آن را دارند، با شبکه مبدا یکسان است یا خیر و اکثر کاربران هنگام انتقال رمز‌ارزهای خود به آدرسی که قصد انتقال دارایی‌های خود به آن را دارند، توجه نمی‌کنند. سارقان و مجرمان سایبری از این مساله که کاربران نمی‌توانند آدرس‌های رمز‌ارزهای خود را بخاطر بسپارند، سو استفاده کرده و اقدام به حمله کلیپ بورد و سرقت و جایگزینی آدرس‌ها خود با آدرس کاربران می‌کنند. در اکثر مواقعی که کاربران مورد چنین حمله‌ای قرار می‌گیرند، زمانی متوجه این موضوع می‌شوند، که رمز‌ارزهای خود را در آدرس مقصد دریافت نمی‌کنند؛ اما در این مقطع دانستن این موضوع به آن‌ها کمکی نکرده و دارایی‌هایشان به سرقت رفته است.

این موضوع فقط مختص به بازار کریپتو نیست و حتی اگر با این بازار سر‌و‌کار نداشته باشید نیز ممکن است، مورد چنین حملاتی قرار بگیرید. سرقت کلیپ بورد از طرق مختلف می‌تواند برای شما اتفاق بیفتد؛ به طور مثال هر زمان که داده‌های حساس خود مثل رمز عبور یا رمز پویا خود را برای خرید از یک آنلاین شاپ، پرداخت بانکی، پرداخت صورت‌حساب و غیره کپی مو در محل دیگری جای‌گذاری می‌کنید، ممکن است دچار حمله Clipboard Hijacking شوید؛ حتی ممکن است هنگام کار با بانکداری آنلاین خود، اطلاعات کاربری خود را در کامپیوتر خود که قبلا به این بد‌افزارها آلوده شده است جای‌گذاری کنید و با انجام این کار تمامی اطلاعات بانکی شما در اختیار سارقان قرار گیرد.

لازم است بدانید که سرقت اطلاعات کلیپ بورد ممکن است در هر لحظه برای شما اتفاق افتاده و دارایی‌های خود را از دست بدهید؛ اما راهکار مقابله با این حملات و بد افزار‌ها چیست؟ چگونه باید حساب‌های خود را در‌برابر این حملات ایمن کنیم؟ برای محافظت از حساب‌هایمان در مقابل این حملات چندین راهکار وجود دارد که آن‌ها را بیان می‌کنیم:

استفاده از مرورگر ایمن

جالب است بدانید که اکثر مرورگرهای به حفاظت از کلیپ بورد توجهی نمی‌کنند؛ اما مرورگر اپرا (Opera) از راه‌اندازی یک سیستم حفاظتی جدید از کلیپ بورد به نام Paste Protection به عنوان یکی از به‌روز‌رسانی‌های مرورگر خود که از ژانویه سال ۲۰۲۲ (دی ۱۴۰۰) در دسترس عموم قرار گرفته، رونمایی کرده است. سیستم Paste Protection به صورت خودکار کار می‌کند و کلیپ بورد را از نظر داده‌های حساس کنترل کرده و پس از جای‌گذاری آن توسط کاربر، کلیپ بورد را قفل می‌کند و پس از آن یک هشدار در گوشه سمت راست صفحه کاربران ظاهر می‌شود که تا به کاربران اعلام کند که محتوای کلیپ بورد آن ها ایمن شده است. همچنین اگر یک بد‌افزار خارجی موفق شود که محتوای کلیپ بورد کاربران را تغییر دهد، مرورگر هشدار جدیدی را نمایش می‌دهد و کاربر را از این موضوع مطلع می‌کند.

نصب آنتی ویروس

یکی از مهم‌ترین راهکار‌ها برای جلوگیری از حمله Clipboard Hijacking، نصب یک آنتی‌ویروس قوی و قابل اعتماد است.

نصب آخرین به‌روز‌رسانی‌ها

صرف نظر از اینکه از چه دستگاه یا سیستم‌عاملی استفاده می‌کنید، بسیار مهم است که همیشه دستگاه خود را برای جلوگیری از حمله بد‌افزارها به آخرین نسخه موجود به‌روز‌رسانی کنید؛ زیرا شرکت‌ها در آخرین نسخه‌های به‌روز‌رسانی دستگاه‌های خود، ویژگی‌ها امنیتی آن‌ها را در مقابل بد‌افزارها تقویت می‌کنند.

دانلود از منابع رسمی

یکی از اصلی‌ترین روش‌ها برای حملات بد افزار‌ها دانلود اپلیکیشن‌های مختلف از وبسایت‌های متفرقه و یا منابع ناشناس است. با دانلود نرم‌افزار‌های مورد نیاز خود از منابع رسمی و ایمن احتمال اتفاق افتادن چنین حملاتی به‌شدت کاهش می‌یابد.

توجه به اقداماتی که انجام می‌دهید

بیشتر بد‌افزارها برای نفوذ به سیستم شما نیاز به تعامل با کاربر دارند. به عبارت ساده تر تا زمانی که خودتان به بد‌افزار اجازه ندهید نمی‌تواند وارد سیستم شما شود. بنابراین هنگام انجام تمامی فعالیت‌های آنلاین خود، مراقب نصب اپلیکیشن‌ها، کلیک کردن روی لینک‌های متفرقه، باز کردن ایمیل‌های ناشناس و غیره باشید. همچنین اگر در بازار ارزهای دیجیتال فعالیت می‌کنید، در هنگام تایید یک تراکنش حتما آدرس مقصد را با آدرس نمایش داده شده در کیف پول خود چک و مقایسه کنید.

یکی از اقداماتی که کیف پول سخت‌افزاری لجر برای جلوگیری از حمله کلیپ بورد انجام می‌دهد، این است که برای انجام تراکنش با نمایش دادن آدرس مقصد روی صفحه نمایش کیف پول از کاربران می‌خواهد تا آدرسی که در لجر لایو نمایش داده می‌شود با این آدرس مطابقت داده و سپس تراکنش را تایید کنند.