کمیته رکن چهارم – نفوذگران همچنان از افزونههای مخرب مرورگر برای توزیع تبلیغافزار و بدافزار بانکی استفاده میکنند، و افزونههای محبوب را به منظور توزیع دیگر کدهای مخرب به سرقت میبرند.
آخرین بهرهبرداری از افزونهها، مربوط به یک افزونهی مرورگر گوگل کروم است که از طریق رایانامههای فیشینگ توزیع میشود و تمام دادههایی که قربانیان به صورت برخط ارسال میکنند را به سرقت میبرد. این حمله با حملات قبلی که به فعالیت مرورگر در URLهای خاصی نظارت کرده و گواهینامهها را استخراج میکنند، تفاوت دارد.
به گفتهی رناتو مارینهو (Renato Marinho)، محقق ارشد آزمایشگاه Morphus و مدیرعامل ISC، احتمالاً این پویش محدود به برزیل و دیگر کشورهای پرتقالی است. مارینهو گفت: «پیام فیشینگ مورد استفاده در این پویش، به زبان پرتقالی نوشته شده و برخی ویژگیهای مرتبط با رایانههای آسیبدیده از جمله مسیرهای رایانه نشان میدهند که بدافزار مورد استفاده در این حملات در برزیل ایجاد شده است.»
مارینهو گفت: «بر اساس پیامهایی که من در تلهی هرزنامهی خودم دریافت کردم، این پویش همچنان ادامه دارد و احتمالاً افراد زیادی را قربانی میکند.»
مارینهو گفت: «این رایانامهها حاوی یک پیوند جعلی مربوط به عکسهایی از اتفاقات یک آخر هفته است که در سراسر واتسآپ ارسال شدهاند. اگر قربانی روی این پیوند کلیک کند، یک نصبکنندهی بدافزار به نام whatsapp.exe اجرا شده و نصبکنندهی ادوبی ریدر۱ جعلی ارائه میشود، که یک پروندهی .cab را روی رایانهی قربانی بارگیری و نصب میکند. این پروندهی .cab یک پروندهی فشرده با حجم ۹٫۵ مگابایت است که وقتی از حالت فشرده خارج شد دو پروندهی ۲۰۰ مگابایتی استخراج میشود. بیشتر قسمتهای این کد تلاش میکنند تا پویشگرهای ضدبدافزاری را دور بزنند که جلوی پروندههای بزرگ را میگیرند.»
یکی از این پروندهها تلاش میکند تا دیوارهی آتش ویندوز را غیرفعال کند و تمام فرآیندهای کروم را قبل از نصب افزونهی مرورگر مخرب که در جاوا اسکریپت نوشتهشده، متوقف کند.
مارینهو گفت: «این افزونهی مخرب همهی دادههایی که قربانی در تمام وبگاهها ارسال میکند را جمعآوری کرده و سپس با استفاده از Ajax و jQuery این دادهها را به یک کارگزار دستور و کنترل میفرستد.»
مارینهو افزود: «اقدامات امنیتی موجود در این مرورگر مانند SSL یا TLS از قربانیان محافظت نمیکنند، زیرا دادههای به سرقت رفته، قبل از اینکه از طریق اتصال HTTPS ارسال شوند، در قالب متن واضح داخل مرورگر جمعآوری میشوند. این نیز یکی دیگر از دلایلی است که این رویکرد برای مجرمان سایبری جالب است.»
مارینهو گفت: «من انتظار دارم که مجرمان سایبری همچنان به استفاده از افزونههای مخرب برای دسترسی به دادههای شخصی یا حساس قربانی ادامه دهند.»
او گفت: «لازم نیست که مهاجم قربانی را به وبگاهی که دارای گواهینامههای مشکوک است، جذب کند و یا پروکسیهای محلی راهاندازی کند تا اتصالات وب را قطع کند. دقیقاً برعکس، کاربران به وبگاههای قانونی و اصلی دسترسی پیدا میکنند و وقتی دادهها توسط مهاجم جمعآوری و ارسال میشوند، تمام تعاملات به درستی کار میکنند. به نظر من مرورگرهای اینترنت باید فرآیندهای نصب افزونهها را بهتر کنترل کنند، مانند کاری که سامانههای تلفن همراه iOS و اندروید انجام میدهند. به صورت پیشفرض، تنها افزونههایی باید برای نصب پذیرفته شوند که در فروشگاههای رسمی در دسترس هستند.»
منبع : news.asis.io
