هشدار براي كاربران مرورگر كروم؛ در دام اين بدافزار نيفتيد!

به تازگي گروهي از هكرها اقدام به نفوذ در سيستم كاربران از طريق بدافزاري خاصي كرده اند. اين بدافزار پيش از اين نيز وجود داشته اما هم اكنون با استراتژي خاصي به كامپيوتر كاربران وارد مي شود.

به گزارش كليك، محققين بدافزار جديدي را كشف كردند كه به صورت هدفمند كاربران مرورگر كروم را بر روي سيستم عامل ويندوز هدف قرار مي دهد. اين مورد براي اولين بار در ماه دسامبر رويت شد. كمپين توليدكننده اين بدافزار از نام عجيب EITest براي خود استفاده مي كند. اين بدافزار پيش از اين در چندين كيت نفوذ كه در جهت دزدي هويت كاربران، باج گيري و انواع مختلف حملات ديگر، مورد استفاده قرار گرفته، ديده شده است. اما در حال حاضر اين بدافزار بيشتر به دنبال حملات هدفمند است تا اين كه در كيت هاي نفوذ، قرار گيرد.

حمله به كروم به وسيله جايگزيني تگ هاي HTML و تخريب صفحات وب

پژوهشگران امنيتي در مركز Proofpoint به اطلاعات تازه اي درباره كمپين مخربي دست يافتند كه مرورگر كروم را مورد هدف قرار مي دهد. به محض اين كه بدافزار اين كمپين مرورگري را در سيستم كاربر شناسايي مي كند، كد مورد نظر به صفحه تزريق مي شود، يك پيغام هشدار را نمايش مي دهد و باعث خواهد شد تا محتويات صفحه غيرقابل خواندن باشد. از آن جايي كه با كليك بر روي آيكن “X” نمي توان اين پيغام هشدار را بست، بنابراين احتمالا كاربران بر روي گزينه Update كليك خواهند كرد. همين امر باعث خواهد شد تا بدافزار مورد نظر فايلي را دانلود و نصب نمايد كه تصور مي شود كه آن يك فايل فونت است.

تيم امنيتي مي گويد: فايل “Chrome_Font.exe” يك بدافزار كلاهبرداري تبليغاتي است كه Fleercivet ناميده مي شود. (اين نامي است كه مايكروسافت به آن داده است.) اين بدافزار به قرباني خود مي گويد كه فونت خاصي (در اين مثال “HoeflerText”) در سيستم يافت نشده است و كاربر بايد بلافاصله به روز رساني مرورگر را انجام دهد. از آن جايي كه در اين پنجره پاپ آپ لوگوي گوگل نيز در سمت راست و بالاي پنجره به همراه دكمه هايي كه دقيقا مشابه دكمه هاي به كار رفته در اين مرورگر است، مشاهده مي شود در نتيجه كاربر راحت تر فريب مي خورد و تصور مي كند كه اين يك پيغام رسمي از طرف مرورگر كروم و شركت گوگل است.

در قسمت زير به نحوه عملكرد اين بدافزار اشاره شده است:

چنانچه قرباني همان فاكتورهايي را كه مدنظر بدافزار است داشته باشد، يعني كشور مورد نظر، سيستم عامل و مرورگر مورد نظر (كه مرورگر بايد كروم و سيستم عامل بايد ويندوز باشد.)  و ارجاع دهنده مناسب ( منظور از ارجاع دهنده وب سايتي است كه در آن لينك خاصي قرار دارد و كاربر با كليك بر روي لينك مورد نظر به صفحه ديگري هدايت مي شود.) در نتيجه كد مدنظر بدافزار در صفحه قرار داده مي شود و وب سايتي كه در معرض خطر قرار دارد طوري بر روي مرورگر قرباني بازنويسي مي شود كه اطلاعات موجود در صفحه آن قابل خواندن نباشد. در نهايت نيز اين بدافزار با ساخت يك محتواي جعلي كاربر را فريب مي دهد. توجه داشته باشيد كه كاربران مرورگر اينترنت اكسپلورر چنانچه فاكتورهاي ديگري را داشته باشند ممكن است بيشتر مورد حمله كيت هاي  نفوذ، قرار گيرند.

اطلاعات اين گونه صفحات در آرايه اي از تگ هاي HTML ذخيره مي شود و سپس بر روي آن ها عبارت “�” جايگزين مي گردد كه يك كاركتر ISO غلط است و بدين وسيله محتويات صفحات غيرقابل خواندن مي شوند. در نهايت نيز كاركترهاي � [۹] به جاي كاركترهاي اصلي نمايش داده مي شوند.

پس از آلوده شدن سيستم، كامپيوتر شروع به باز كردن صفحات مختلف در پس زمينه به طور خودكار خواهد كرد. كمپين EITest كه جديدترين آلودگي هاي خود را معطوف به مرورگر كروم كرده است، پيش از اين به منظور سوء استفاده از بسياري از سايت ها مورد استفاده قرار گرفته بود، كه به عنوان يك آسيب پذيري در سايت هاي تحت وردپرس و جوملا شاخته مي شد. گروهي كه اين بدافزار را نوشته اند كاربران را از سايت هاي آلوده به يك كد مخرب هدايت مي كردند كه اين كد مخرب در كيت هاي نفوذ به كار گفته مي شد. اما جديدترين استراتژي حمله هم اكنون متفاوت است. چون ابتدا اين بدافزار هدف خود را از پاي در مي آورد و سپس حمله خود را آغاز مي نمايد.

حملاتي كه اخيرا توسط “فونت” در كروم صورت مي گيرد در واقع بستگي به اين دارد كه آيا كاربر بر روي دكمه download يا update كليك كند يا خير.

محققان مي گويند: چون هكرها دريافتند كه به سختي مي توانند به وسيله كيت هاي نفوذ تغييري در سيستم كاربر ايجاد كنند (در واقع كاربر را به نوعي مجبور به نصب بدافزار كنند) در نتيجه از يك تاكتيك جديد استفاده كردند. همانند ساير نفوذهاي كامپيوتري، هكرها سعي مي كنند از طريق نيروي انساني به كامپيوتر قرباني نفوذ كنند. آن ها كاربران طوري فريب مي دهند تا خودشان (كاربران) بدافزار را بر روي سيستم خود اجرا نمايند. پس اين كه اين اتفاق رخ داد سپس هكرها كدهاي مورد نظر را به وب سايت ها وارد مي كنند و در ادامه نيز پس از اين كه ظاهر سايت براي كاربر كاملا غيرعادي به نظر رسيد (همانطور كه در فايل گيف مشاهده مي كنيد)، با ارائه راه حل هاي جعلي كاربر را فريب مي دهند.