سرقت داده‌های ارسال شده در تمامِ وب‌گاه‌ها از طریق یک افرونه‌ی مرورگر مخرب

نفوذگران همچنان از افزونه‌های مخرب مرورگر برای توزیع تبلیغ‌افزار و بدافزار بانکی استفاده می‌کنند، و افزونه‌های محبوب را به منظور توزیع دیگر کدهای مخرب به سرقت می‌برند.

آخرین بهره‌برداری از افزونه‌ها، مربوط به یک افزونه‌ی مرورگر گوگل کروم است که از طریق رایانامه‌های فیشینگ توزیع می‌شود و تمام داده‌هایی که قربانیان به صورت برخط ارسال می‌کنند را به سرقت می‌برد. این حمله با حملات قبلی که به فعالیت‌ مرورگر در URLهای خاصی نظارت کرده و گواهی‌نامه‌ها را استخراج می‌کنند، تفاوت دارد.

به گفته‌ی رناتو مارینهو (Renato Marinho)، محقق ارشد آزمایشگاه Morphus و مدیرعامل ISC، احتمالاً این پویش محدود به برزیل و دیگر کشورهای پرتقالی است. مارینهو گفت: «پیام فیشینگ مورد استفاده در این پویش، به زبان پرتقالی نوشته شده و برخی ویژگی‌های مرتبط با رایانه‌های آسیب‌دیده از جمله مسیرهای رایانه نشان می‌دهند که بدافزار مورد استفاده در این حملات در برزیل ایجاد شده است.»

مارینهو گفت: «بر اساس پیام‌هایی که من در تله‌ی هرزنامه‌ی خودم دریافت کردم، این پویش همچنان ادامه دارد و احتمالاً افراد زیادی را قربانی می‌کند.»

 

مارینهو گفت: «این رایانامه‌ها حاوی یک پیوند جعلی مربوط به عکس‌هایی از اتفاقات یک آخر هفته است که در سراسر واتس‌آپ ارسال شده‌اند. اگر قربانی روی این پیوند کلیک کند، یک نصب‌کننده‌ی بدافزار به نام whatsapp.exe اجرا شده و نصب‌کننده‌ی ادوبی ریدر1 جعلی ارائه می‌شود، که یک پرونده‌ی .cab را روی رایانه‌ی قربانی بارگیری و نصب می‌کند. این پرونده‌ی .cab یک پرونده‌ی فشرده‌‌ با حجم ۹٫۵ مگابایت است که وقتی از حالت فشرده خارج شد دو پرونده‌ی ۲۰۰ مگابایتی استخراج می‌شود. بیشتر قسمت‌های این کد تلاش می‌کنند تا پویش‌گرهای ضدبدافزاری را دور بزنند که جلوی پرونده‌های بزرگ را می‌گیرند.»

یکی از این پرونده‌ها تلاش می‌کند تا دیواره‌ی آتش ویندوز را غیرفعال کند و تمام فرآیندهای کروم را قبل از نصب افزونه‌ی مرورگر مخرب که در جاوا اسکریپت نوشته‌شده‌، متوقف کند.

مارینهو گفت: «این افزونه‌ی مخرب همه‌ی داده‌هایی که قربانی در تمام وب‌گاه‌ها ارسال می‌کند را جمع‌آوری کرده و سپس با استفاده از Ajax و jQuery این داده‌ها را به یک کارگزار دستور و کنترل می‌فرستد.»

مارینهو افزود: «اقدامات امنیتی موجود در این مرورگر مانند SSL یا TLS از قربانیان محافظت نمی‌کنند، زیرا داده‌های به سرقت رفته، قبل از این‌که از طریق اتصال HTTPS ارسال شوند، در قالب متن واضح داخل مرورگر جمع‌آوری می‌شوند. این نیز یکی دیگر از دلایلی است که این رویکرد برای مجرمان سایبری جالب است.»

 

مارینهو گفت:‌ «من انتظار دارم که مجرمان سایبری همچنان به استفاده از افزونه‌های مخرب برای دسترسی به داده‌های شخصی یا حساس قربانی ادامه دهند.»

او گفت: «لازم نیست که مهاجم قربانی را به وب‌گاهی که دارای گواهی‌نامه‌های مشکوک است، جذب کند و یا پروکسی‌های محلی راه‌اندازی کند تا اتصالات وب را قطع کند. دقیقاً برعکس، کاربران به وب‌گاه‌های قانونی و اصلی دسترسی پیدا می‌کنند و وقتی داده‌ها توسط مهاجم جمع‌آوری و ارسال می‌شوند، تمام تعاملات به درستی کار می‌کنند. به نظر من مرورگرهای اینترنت باید فرآیندهای نصب افزونه‌ها را بهتر کنترل کنند، مانند کاری که سامانه‌های تلفن همراه iOS و اندروید انجام می‌دهند. به صورت پیش‌فرض، تنها افزونه‌هایی باید برای نصب پذیرفته شوند که در فروشگاه‌های رسمی در دسترس هستند.»

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید