کمیته رکن چهارم – هکرها با استفاده از پیامهای جعلی بهروزرسانی مرورگر کروم اقدام به انتشار بدافزار و حملات سایبری میکنند.
کارشناسان شرکت دکتر وب (Dr. Web) با انتشار گزارشی اعلام کردهاند هکرها در عملیاتی جدید اقدام به انتشار بدافزار از طریق بهروزرسانیهای جعلی مرورگر کروم میکنند.
به گفته کارشناسان این شرکت، مهاجمان از طریق سایتهای آلوده مبتنی بر وردپرس بهروزرسانیهای جعلی منتشر کرده و کاربران را به نصب بدافزار تشویق میکنند.
هکرها با دسترسی به سیستم مدیریت محتوای سایتهای وردپرسی اسکریپتی به آنها اضافه کرده و کاربران را به صفحات فیشینگی که پشت نقاب منابع رسمی گوگل مخفیشدهاند، هدایت میکنند.
آنها کاربران را به صفحات فیشینگ هدایت کرده و به آنها پیشنهاد میکنند بهروزرسانی مهم کروم را نصب کنند. کاربران با نصب بهروزرسانی، بسته نصب بدافزاری را دریافت میکنند که به اپراتورهای خود این امکان را میدهد سیستمهای آلوده را از راه دور کنترل کنند.
مهاجمان اهداف خود را بر اساس موقعیت مکانی و مشخصات مرورگرشان انتخاب کرده و بسته نصب مخرب را با امضای دیجیتال واقعی به کاربران ارائه میدهند. این امضای دیجیتال مشابه امضاء بسته نصب جعلی NordVPN است که توسط یک گروه هکری توزیع میشود.
پس از نصب بهروزرسانی، در فهرست %userappdata% پوشهای ایجاد میشود که شامل مجموعه فایلهای مشروع اپلیکیشن «TeamViewer» بوده و همزمان دو آرشیو SFX رمزنگاریشده نیز باز میشود.
یکی از آرشیوها شامل کتابخانه مخرب msi.dll و فایل راهاندازی مرورگر کروم با صفحه شروع Google[.]com است.
از آرشیو دوم نیز اسکریپتی برای دور زدن آنتیویروسهای ویندوز استخراج میشود. کتابخانه msi.dll در حافظه بارگذاری شده و فعالیتهای تیم ویور را از چشم کاربر مخفی نگه میدارد و امکان اتصال به سیستم آلوده را فراهم میسازد.
در ادامه مهاجمان برنامههای مخربی همچون کیلاگر، بدافزار سارق گذرواژه «Predator the Thief» و تروجان کنترل از راه دور پروتکل RDP را در دستگاههای آلوده نصب میکنند.
به اعتقاد کارشناسان دکتروب، گروهی که پشت این عملیات قرار دارد، همان گروهی است که در وبسایت مشهور سینت (CNET)، نسخههای مخرب نرمافزار ویاسدیسی (VSDC) را منتشر کرده بود و کاربران بهجای نسخه اصلی نرمافزار، بسته نصب آلوده به بدافزار نرمافزار ویاسدیسی را دریافت میکردند.
منبع: سایبربان
