مطالب مطالب

انتشار بدافزار توسط به روزرسانی قلم ها در مرورگر گوگل کروم

در بررسی سایت ها برای کشف بدافزارهای جدید، در هنگام مرور یک سایت Wordpress به صورت ناگهانی یک پیغام JavaScript برای ما نمایش داده شد که برای به روزرسانی font های ازدست رفته بر روی این مرورگر، اجازه ی دانلود یک برنامه جهت رفع این مشکل را از کاربر می خواست. برای این کار از یک پیغام به روز رسانی استفاده می کرد که در تصویر زیر آن پیغام را مشاهده می فرمایید:

در تصویر زیر مشاهده می فرمایید که چگونه با استفاده از پیغام هایی شبه به پیغام های به روز رسانی گوگل کروم، سعی در اجرای عملیات تخریبی خود را دارد:

در این پیغام، برخی مسایل ذکر شده صحیح و برخی اشتباه می باشد. Text در مرورگر Render نمی شود، پس احتیاجی به یک Pack جدید برای به روز رسانی جهت نمایش بخشی از سایت نمی باشد. اما نام فونت HoeflerText صحیح می باشد و ما فونتی به این نام را داریم که پیغام اصلی برای دانلود و نصب این فونت می باشد.
    
    نوع متن نوشته شده، لوگوی گوگل کروم، دکمه آبی رنگ در پایین پیغام، نمایش ورژن ها و در کل شمای کلی پیغام نمایش داده شده، بسیار دقیق و صحیح آماده سازی شده است که کاربر به احتمال بالا، این پیغام را با یک پیغام اصلی خود مرورگر اشتباه بگیرد و اجازه ی انجام عملیات را برای نفوذگر فراهم آورد.
    اشتباهات جالبی هم رخ داده است. می توان گفت که به راحتی با استفاده از تابع windows.navigator.useragent می توان نسخه دقیق مرورگر نصب شده را بدست آورد، در حالی که در تصویر پیغام فوق، به صورت Hard Coded شده یک شماره از یکی از نسخه های مرورگر نمایش داده می شود که در اینجا صحیح نمی باشد. چراکه نسخه مرورگر ما 56.0.2924.87 می باشد در حالی که در تصویر فوق، 53.0.2785.89 نمایش داده شده است.
    پس از کلیک بر روی دکمه ی Update می بینیم که یک فایل به نام Chrome Font v7.5.1.exe دانلود می شود. این همان بدافزاری می باشد که توسط این پیغام برای کاربر ارسال می شود و در صورت نصب آن توسط کاربر، بدافزار بر روی سیستم عامل ویندوز نصب می گرددک هدر تصویر زیر مشاهده می فرمایید:

پس از دانلود فایل مخرب، برای اجرای آن پیغامی مبنی بر صدور مجوز جهت اجرای برنامه دانلود شده از شما پرسیده خواهد شد. بازهم این بدافزار توسط پیغامی که در زیر مشاهده می فرمایید کاربر را به انجام این عمل و اجرای برنامه ترغیب می کند:

    همانطور که مشاهده می فرمایید پیغام سیستم امنیتی UAC ویندوز برای اجرای این فایل دانلود شده نمایش داده شده است. اما نامی که در صفحه راهنما به نام Chrome_Font.exe برای کاربر نمایش داده شده بود، با نام فایلی که هم اکنون بر روی سیستم قربانی دانلود شده است تفاوت دارد که نام فایل دانود شده همان Chrome Font v7.5.1.exe می باشد. حال اگر این فایل را در سایت Virus Total برای بررسی آن توسط آنتی ویروسها قرار دهیم، می بینیم که به تعداد 9 عدد از نرم افزارهای ویروس یاب آن را به عنوان یک فایل مخرب گزارش می دهدن که تصویر آن را در زیر مشاهده می فرمایید:

تصاویر مرتبط
تاریخ انتشار مطلب: 09 اسفند 1395
بازدید ها: 684