کمیته رکن چهارم -یک بدافزار که با ایجاد backdoor از طریق هشدارهای جعلی گواهی امنیتی منتشر میشود، قربانیان را هنگام بازدید از سایتها مجبور به نصب یک بهروزرسانی گواهی امنیتی مخرب میکند.
اخیراً بدافزار جدیدی با ایجاد backdoor از طریق هشدارهای جعلی گواهی امنیتی منتشر میشود. این تکنیک جدید قربانیان را هنگام بازدید از سایتها مجبور به نصب یک بهروزرسانی گواهی امنیتی مخرب میکند.
صادر کنندههای گواهی امنیتی (CA)، گواهینامههای امنیتی SSL/TLS را برای بهبود امنیت آنلاین با ایجاد رمزنگاری کانالهای ارتباطی بین مرورگر و سرور -مخصوصاً برای دامنههای ارائهدهنده خدمات تجارت الکترونیکی- و تایید هویت (برای ایجاد اعتماد در یک دامنه) منتشر میکند.
با وجود نمونههای سوءاستفاده از گواهی امنیتی، کلاهبرداری و جا زدن مجرمان سایبری به عنوان مدیران اجرایی برای به دست آوردن گواهیهای امنیتی برای امضای دامنههای تقلبی یا بارگذاری بدافزار، رویکرد جدید فیشینگ در حال سوءاستفاده از مکانیزم گواهیهای امنیتی است.
اخیراً محققان امنیتی کسپرسکی گزارش دادند این تکنیک جدید در انواع سایتها مشاهده شده و اولین تاریخ سوءاستفاده آن ۱۶ ژانویه ۲۰۲۰ گزارش شدهاست.
قربانیان هنگام بازدید از سایتها با صفحه زیر روبهرو میشوند:
این پیغام ادعا میکند که تاریخ اعتبار گواهی امنیتی سایت به پایان رسیدهاست و از قربانیان خواستهمیشود یک بهروزرسانی گواهی امنیتی را برای رفع این مشکل نصب کنند.
این پیغام شامل یک iframe است و محتوای آن از طریق یک اسکریپت jquery.js از یک سرور کنترل و فرمان شخص ثالث بارگیری میشود؛ در حالی که نوار URL هنوز آدرس دامنه مجاز را نمایش میدهد.
طبق گفته محققان اسکریپت jquery.js، یک iframe را نمایش میدهد که دقیقاً اندازه صفحه است. درنتیجه کاربر به جای صفحه اصلی، یک صفحه ظاهراً واقعی را مشاهده میکند که خواستار نصب یک بهروزرسانی گواهی امنیتی است.
اگر قربانی روی گزینه بهروزرسانی کلیک کند، بارگیری فایل Certificate_Update_v۰۲.۲۰۲۰.exe آغاز میشود. پس از نصب آن، مهاجم یکی از دو نوع نرمافزارهای مخرب Mokes یا Buerak را در سیستم قربانی اجرا میکند.
بدافزار Mokes یک backdoor برای macOS/Windows است، که توسط شرکت امنیت سایبری پیشرفته شناخته شده است، و قادر به اجرای کد، گرفتن screenshot، سرقت اطلاعات رایانهای ازجمله فایلها،
فایلهای صوتی و فیلمها، ایجاد یک backdoor و استفاده از رمزنگاری AES-256 برای پنهان کردن فعالیتهای خود است. تروجان Buerak نیز یک تروجان تحت ویندوز است که قادر به اجرای کد، دستکاری فعالیتهای در حال اجرا و سرقت محتوا است؛ این تروجان پایداری خود را از طریق کلیدهای رجیستری حفظ کرده و روشهای مختلف آنالیز و تکنیکهای sandboxing را تشخیص میدهد.
در هفته اخیر، سازمان صادرکننده گواهی امنیتی Let’s Encrypt اعلام کرد که قصد ابطال بیش از سهمیلیون گواهی امنیتی بهدلیل آسیبپذیری در کد پسزمینه را دارد که باعث میشود سیستمهای کنترل از بررسی فیلدهای CAA چشمپوشی کنند. اکنون خطای برنامهنویسی رفع شدهاست، اما صاحبان دامنههای قربانی باید درخواست دامنههای جدید بدهند.
منبع: مرکز ماهر
