---
title: "بدافزار ریموس: سارق جدیدی که تلگرام و رمزارزهایتان را بی‌صدا می‌دزدد"
date: 2026-06-10T16:30:00Z
modified: 2026-06-10T14:19:13Z
permalink: "https://nooshdaroo.ir/cybersecurity-basics/everything-about-remus-malware/"
type: post
status: publish
excerpt: ""
wpid: 12806
categories:
  - مبانی امنیت
  - ارزهای دیجیتال
tags:
  - top-section-overwrite
  - امنیت سایبری
  - تلگرام
author:
  - Hooshyar
  - ZiaeiShayan
featured_image: "https://nooshdaroo.ir/wp-content/uploads/2026/06/unnamed-2.webp"
featured_image_alt: بیرون آمدن دست سارقی با دستکش مشکی از صفحه لپ‌تاپ برای سرقت رمزارزها از کیف پول در کنار اپلیکیشن تلگرام.
---

صبح از خواب بیدار می‌شوید و می‌بینید تلگرام‌تان از دسترس خارج شده و کیف پول رمزارزی‌تان خالی است. با خودتان می‌گویید: «من که 2FA داشتم؛ پس چطور هک شدم؟» و پاسخ ممکن است بدافزار جدیدی به نام ریموس (Remus) باشد.

گزارش‌ها می‌گویند جرایم سایبری در سال‌های اخیر ده‌ها میلیارد دلار خسارت به‌جا گذاشته‌اند. در این مقاله قرار است به بررسی یکی از پیچیده‌ترین و جدیدترین بدافزارهای حال حاضر دنیا یعنی ریموس بپردازیم؛ بدافزاری که حتی قوی‌ترین سدهای امنیتی مرورگر شما را به بازی می‌گیرد.

## ظهور نسل جدیدی از سرویس‌های بدافزار؛ ریموس از کجا آمد؟

برای شناخت ریموس، اول باید پدرخوانده آن یعنی بدافزار معروف لوما (Lumma) را بشناسیم. اواخر سال ۲۰۲۵، هویت سازندگان لوما، یعنی گروه بدنام Doxxing، توسط محققان امنیتی فاش شد و شبکه آن‌ها ضربه سنگینی خورد. اما هکرها بیکار ننشستند. طولی نکشید که در فوریه ۲۰۲۶، شرکت امنیتی Gen Digital از ظهور نسخه تکامل‌یافته و ۶۴ بیتی این بدافزار با نام ریموس پرده برداشت.

ریموس صرفاً یک کپی ساده از بدافزار قبلی نیست، بلکه مثل سارقی است که به جای دیلم و شاه‌کلید، حالا با ابزارهای هک الکترونیکی به سراغ ماشین‌های مدرن می‌آید. این بدافزار با معماری ۶۴ بیتی به‌راحتی در سیستم‌عامل‌های امروزی می‌تازد و شناسایی‌اش به شدت دشوار است.

## ریموس چگونه قفل مرورگرها را می‌شکند؟

مرورگرهای اینترنتی (مثل کروم یا اج) برای محافظت از رمزهای عبور و کوکی‌های شما از یک گاوصندوق دیجیتال استفاده می‌کنند که کلید رمزگشایی آن، فقط در اختیار همان فرایند و محیطی قرار می‌گیرد که مرورگر به آن اعتماد دارد. به این ترفند امنیتی «رمزنگاری مقید به برنامه» (App-Bound Encryption یا ABE) گفته می‌شود.

ریموس به جای اینکه تلاش کند در گاوصندوق را با زور بشکند، از یک ترفند فوق‌العاده موذیانه استفاده می‌کند: این بدافزار یک کد بسیار کوچک (تنها ۵۱ بایت) را مستقیماً به داخل مغز مرورگر شما (حافظه‌ی در حال اجرا) تزریق می‌کند.

ریموس به‌جای شکستن رمزنگاری مرورگر، خودش را به‌عنوان بخشی از مرورگر جا می‌زند!



با این حرکت، ریموس به‌جای شکستن قفل مرورگر، خودش را به‌جای مرورگر جا می‌زند تا کلید اصلی (معروف به v20\_master\_key) را بردارد. با این روش، مرورگر فریب می‌خورد و فکر می‌کند که در حال خواندن اطلاعات است، درحالی‌که ریموس می‌تواند به بخش بزرگی از داده‌های ذخیره‌شده مرورگر دسترسی پیدا کند.

اگر مرورگرتان بسته باشد چطور؟ ریموس یک دسکتاپ مخفی در پس‌زمینه سیستم شما می‌سازد و مرورگر را آنجا بی‌صدا باز می‌کند تا شما هیچ پنجره مزاحمی نبینید!

## پنهان‌کاری روی بلاکچین؛ تکنیک عجیب اترهایدینگ چیست؟

بدافزارهای قدیمی برای دریافت دستور از هکرها، به سرورها یا کانال‌های تلگرامی وابسته بودند. مشکل این روش برای هکرها این بود که شرکت‌های امنیتی می‌توانستند به سرعت سرورها را مسدود کنند تا ارتباط بدافزار با هکرها قطع شود. ریموس برای حل این مشکل، از تکنولوژی بلاکچین و مفهومی به نام اترهایدینگ (EtherHiding) استفاده می‌کند.

##### **اترهایدینگ به زبان ساده**

فرض کنید هکرها نقشه گنج و دستورالعمل‌های خود را روی قراردادهای هوشمند (Smart Contracts) در شبکه‌هایی مثل اتریوم یا زنجیره هوشمند بایننس می‌نویسند. از آنجا که بلاکچین غیرمتمرکز است و کسی نمی‌تواند اطلاعات آن را پاک کند، این دستورالعمل‌ها همیشه در دسترس بدافزار باقی می‌مانند. سیستم آلوده‌شده با یک درخواست ساده و بی‌خطر، کد مخرب را از دل بلاکچین بیرون می‌کشد و اجرا می‌کند. این روش، مقابله و مسدودسازی زیرساخت مهاجمان را بسیار دشوارتر می‌کند.





| **معیار مقایسه** | **بدافزارهای قدیمی (مثل نسخه‌های اولیه Lumma)** | **بدافزار ریموس** |
| --- | --- | --- |
| **محل دریافت دستورات** | کانال‌های تلگرامی و سرورهای متمرکز | قراردادهای هوشمند بلاکچین (EtherHiding) |
| **عبور از سد امنیتی مرورگر** | سرقت فایل‌های خام | تزریق کد مستقیم به حافظه (ABE Bypass) |
| **مقاومت در برابر آنتی‌ویروس** | معمولی (شناسایی فایل) | بسیار بالا (اجرای بی‌صدا در پس‌زمینه و دسکتاپ مخفی) |

## کسب‌وکار کثیف هکرها: خرید اشتراک دزدی

وب‌سایت BleepingComputer در یک گزارش اختصاصی، ۱۲۸ پست در انجمن‌های مخفی هکرها را بین فوریه تا مِی ۲۰۲۶ بررسی کرده است. این گزارش نشان می‌دهد که ریموس صرفاً یک برنامه‌ی ساده نیست، بلکه «بدافزار به‌عنوان سرویس» (MaaS) است؛ یعنی سازندگان ریموس، پنل کاربری آن را با قیمت‌های مختلف به هکرهای تازه‌کار اجاره می‌دهند و خدمات پس از فروش هم ارائه می‌کنند!

تبلیغات ریموس در این انجمن‌ها، ظاهری کاملاً حرفه‌ای و سازمان‌یافته دارند. آن‌ها ادعا می‌کنند که کار با این پنل آنقدر ساده است که «حتی یک کودک هم می‌تواند با آن کار کند» و به مشتریان پشتیبانی فنی ۲۴ ساعته ارائه می‌دهند.

![](https://nooshdaroo.ir/wp-content/uploads/2026/06/unnamed1.webp)

اسکرین‌شاتی از پلتفرم Flare که یکی از اولین پست‌های REMUS را نشان می‌دهد.سرویس ریموس ویژگی‌های هولناکی دارد که برخی از آنها را مرور می‌کنیم:

- **بازیابی توکن (Restore-token):** خطرناک‌ترین قابلیت ریموس، این است که حتی اگر شما متوجه هک شدن خود بشوید و رمز عبورتان را تغییر دهید، ریموس با استفاده از کوکی‌های سرقت‌شده، دوباره می‌تواند نشست (Session) شما را فعال کند. با این کار، ریموس، تایید دو مرحله‌ای (2FA) را دور می‌زند.
- **حمله به نرم‌افزارهای مدیریت رمز عبور (Password Managers):** از آوریل ۲۰۲۶، ریموس قابلیت جدیدی اضافه کرد که پایگاه داده برنامه‌هایی مثل Bitwarden ،1Password و LastPass را از طریق دستکاری فایل‌های پایگاه داده محلی مرورگر موسوم به IndexedDB مرورگر، به سرقت می‌برد.
- **هدف‌گیری گیمرها و کاربران شبکه‌های اجتماعی:** ریموس به‌صورت تخصصی برای ربودن اکانت‌های تلگرام، دیسکورد، استیم و بازی‌های شرکتRiot Games طراحی شده است. سازندگان این بدافزار، داشبوردهایی را به خریداران خود ارائه می‌دهند که اطلاعات دزدیده شده را مانند یک مدیر فروش سازمانی تحلیل کنند!



## چرا کاربران ایرانی طعمه‌های ایده‌آلی‌اند؟

اگر فکر می‌کنید این خطرات فقط برای شرکت‌های خارجی است، سخت اشتباه می‌کنید. شرایط خاص اینترنت در ایران، ما را به یکی از جذاب‌ترین اهداف این بدافزارها تبدیل کرده است.

نخست، وابستگی شدید ما به پلتفرم تلگرام برای ارتباطات روزمره و کسب‌وکارها، باعث می‌شود تا ربات‌ها و مینی‌اپلیکیشن‌های جعلی (با نام‌هایی شبیه پروژه‌های ایردراپ مثل پروژه‌های کلاهبرداری FEMITBOT) به‌راحتی بدافزارهایی شبیه به ریموس را تحت پوشش بازی‌های رمزارز یا ابزارهای دور زدن فیلترینگ روی سیستم نصب کنند.

دوم، به‌دلیل شرایط اقتصادی، بسیاری از ایرانیان سرمایه‌های خود را به شکل تتر یا رمزارزهای دیگر، در کیف پول‌هایی مثل متامسک یا تراست‌ولت و با استفاده از افزونه‌ی مرورگر کامپیوتر نگهداری می‌کنند. ریموس دقیقاً همین افزونه‌ها را هدف می‌گیرد و در کسری از ثانیه دارایی را به یغما می‌برد. در نهایت، استفاده گسترده از نرم‌افزارهای کرک‌شده و ویندوزهای غیررسمی هم راه را برای ورود ریموس بدون هیچ‌گونه مزاحمتی باز می‌گذارد.

## چطور از خودمان محافظت کنیم؟

به‌رغم پیچیدگی‌های ریموس، هنوز هم رعایت چند نکته ساده می‌تواند سیستم شما را در برابر آن ایمن کند:

- **رمزها را در مرورگر ذخیره نکنید:** قابلیت ذخیره رمز عبور در گوگل کروم یا فایرفاکس را غیرفعال کنید. با توجه به تکنیک ABE Bypass در ریموس، مرورگرها دیگر به اندازه گذشته، محل مطمئنی برای نگهداری رمزها محسوب نمی‌شوند. در عوض، از یک مدیر رمز عبور مستقل و آفلاین (مانند KeePassXC) استفاده کنید که پایگاه داده‌ی آن خارج از مرورگر و با یک رمز اصلی قدرتمند محافظت می‌شود.
- **مراقب فایل‌های تلگرامی باشید:** هر فایل ناشناسی که در گروه‌ها یا کانال‌های تلگرامی با عنوان «نسخه پریمیوم رایگان»، «فیلترشکن پرسرعت» یا «بازی‌های ایردراپ جدید» می‌بینید، می‌تواند یک ریموسِ تغییرشکل‌یافته باشد.
- **توکن‌های فعال خود را مرتب چک کنید:** هر از گاهی به بخش Devices (دستگاه‌های فعال) در تلگرام یا اینستاگرام خود بروید و نشست‌های ناشناس را پاک کنید تا ویژگی Restore-token ریموس نتواند از آن‌ها سوءاستفاده کند.