حمله گسترده بدافزار تروجان؛ ۳۰۰ هزار کاربر کروم و اج در معرض خطر هستند
بدافزار جدیدی که افزونههای مخرب را بهاجبار روی کروم و اج نصب میکند، صدها هزار کاربر این مرورگرها را در معرض خطر امنیتی قرار داده است.
مجتبی بوالحسنی: پژوهشگران امنیتی ReasonLabs کمپین بدافزاری گستردهای را کشف کردهاند که هماکنون فعال است و افزونههای مخرب را بهاجبار روی سیستم قربانیان نصب میکند. این نصبکننده و افزونهها که بهصورت جهانی درحال گسترش هستند، حداقل ۳۰۰ هزار کاربر گوگل کروم و مایکروسافت اج را در معرض خطر قرار دادهاند و با تغییر فایلهای اجرایی مرورگر، تاریخچهی مرور آنها را سرقت میکنند.
بدافزارهای جدید شامل تعدادی افزونهی سادهی تبلیغاتی و اسکریپتهای مخرب پیچیدهتر هستند که برای سرقت دادههای خصوصی و اجرای دستورات مختلف روی دستگاههای آلوده مورد استفاده قرار میگیرند. نکتهی مهم اینکه این بدافزارها معمولاً ابزارهای آنتیویروس را دور میزنند.
بدافزارهای جدید از سال ۲۰۲۱ ازطریق وبسایتهای دانلود جعلیای که افزونههایی برای بازیهای آنلاین و ویدیوها ارائه میدهند، گسترش یافتهاند.
بهگفتهی ReasonLabs، سازندگان بدافزار تروجان، فایل نصبکنندهی آن را با عنوانهای جعلی مختلف ازجمله Roblox FPS Unlocker ،Youtube ،VLC Media Player یا KeePass در وبسایتهای خود ارائه میدهند تا کاربران را به دانلود و نصب بدافزار ترغیب کنند. فایلهای اجرایی دانلودشده از این وبسایتهای جعلی حتی نرمافزار مورد نظر کاربران را نصب نمیکنند و فقط تروجانها را روی سیستم هدف قرار میدهد.
پژوهشگران ReasonLabs میگویند: «هنگامی که کاربران بدافزارها را از وبسایت جعلی دانلود میکنند، بدافزار با استفاده از نام مستعار مشابه الگوی نام فایل اسکریپت پاورشل ازجمله Updater_PrivacyBlocker_PR1 ،MicrosoftWindowsOptimizerUpdateTask_PR1 و NvOptimizerTaskUpdater_V2 اقدامات زمانبندیشدهای را انجام خواهد داد. بدافزار مورد اشاره برای اجرای اسکریپت پاورشل از نامی مشابه -File C:/Windows/System32/NvWinSearchOptimizer.ps1″ بهره میبرد و پس از اجرا، سایر فایلهای مخرب را از سرور راهدور دانلود و روی دستگاه قربانی نصب میکند.»
اسکریپت پاورشل در پوشهی system32 نوشته شده است که اسکریپت مرحلهی دوم را بهطور مستقیم روی حافظه فراخوانی میکند. هنگامی که اسکریپت پاورشل اجرا شود، مقادیر رجیستری را برای اجبار نصب افزونههای مخرب به سیستمعامل اضافه میکند. این افزونهها باعث میشوند کاربران هنگام جستوجوی وب در مرورگر، به وبسایت مورد نظر مهاجم هدایت شوند.
اسکریپت مخرب در مرحلهی بعد با تغییر کلیدهای رجیستری کروم و اج، افزونههای مخرب را نصب و غیرفعالکردن آنها را حتی ازطریق تنظیمات معمولی مرورگر، سختتر میکند. این افزونهها چندین فعالیت مخرب انجام میدهند که ازجمله میتوان به هدایت کاربر به وبسایتهای مخرب هنگام استفاده از موتورهای جستوجوی شناختهشده اشاره کرد.
ReasonLabs میگوید جدیدترین نسخهی بدافزار، فایلهای DLL هستهی مرورگر را که گوگل کروم و مایکروسافت اج از آنها استفاده میکنند، برای هدایت کاربر از صفحهی اصلی مرورگر به صفحهی مورد نظر هکرها تغییر میدهد.
تیم تحقیقاتی ReasonLabs پس از کشف بدافزارهای جدید، گوگل و مایکروسافت را مطلع کرد. مایکروسافت همهی افزونههای مخرب شناساییشده را از فروشگاه افزونههای اج حذف کرده است، اما برخی از افزونههای مخرب هنوز هم در فروشگاه وب گوگل کروم وجود دارند.