12 - 06 - 2024
هشدار درباره انتشار بدافزاری از طریق بهروزرسانی جعلی مرورگرها
ایسنا- کارشناسان امنیت سایبری اخیرا از انتشار بدافزاری با استفاده از بهروزرسانی جعلی مرورگرها هشدار دادهاند که حملات با هدایت کاربران به وبسایتهای آلوده و دانلود فایلهای مخرب توسط آنها انجام میشود. بدافزارها شامل نرمافزارهای جاسوسی یا برنامههای تبلیغاتی مزاحم مانند ردیابی کوکیهاست که به ردیابی علاقهمندیهای کاربران در رایانه میپردازند. واژه بدافزار کوتاه شده نرمافزار مخرب
(malicious software) است. این واژه اصطلاحی عمومی برای توصیف همه ویروسها، کرمها، جاسوسافزارها و تقریبا هر چیزی که به طور خاص برای صدمه به رایانه یا سرقت اطلاعات طراحی شده است. واژه ویروسهای رایانهای اغلب به جای بدافزار استفاده میشود، هرچند در واقع این دو واژه به یک معنی نیستند و در دقیقترین معنی، ویروس برنامهای است که خود را مدام تکثیر کرده و رایانه را با گسترش خود از یک فایل به فایل دیگر آلوده میکند، سپس وقتی فایلها از یک رایانه به دیگری کپی شده و بین دو یا چند رایانه به اشتراک گذاشته میشوند، از کامپیوتر آلوده به دیگران منتقل میشود و این روند همچنان ادامه پیدا میکند.
نکته قابل توجه این است که بدافزارها دارای برخی ویژگیهای کلیدی هستند که آن را از دیگر نرمافزارهای مخرب مجزا میکند که رمزگذاری غیرقابل شکست از جمله ویژگیهای آن است؛ به این معنی که نمیتوان فایلها را خودتان رمزگشایی کنید اما بدافزار میتواند انواع فایلها، از اسناد تا تصاویر، فایلهای صوتی و سایر مواردی که ممکن است روی رایانه باشد، رمزگذاری کند. در این راستا اخیرا مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (ماهر) از انتشار بدافزاری با استفاده از بهروزرسانی جعلی مرورگرها هشدار داده است. در واقع مهاجمان سایبری با استفاده از بهروزرسانیهای جعلی مرورگرها، بدافزارهایی نظیر BitRAT و Lumma Stealerرا توزیع میکنند. این حملات با هدایت کاربران به وبسایتهای آلوده و دانلود فایلهای مخرب توسط آنها آغاز میشوند. با بازدید قربانیان از یک وبسایت آلوده که در آن کدی به زبان جاوااسکریپت قرار داده شده است، کاربران به یک صفحه جعلی بهروزرسانی مرورگر هدایت میشوند که تحت دامنهای مانند «abcde-app[.]cloud» قرار دارد. هدف این حمله فریب کاربران برای دانلود و نصب نرمافزارهای مخرب یا انجام اقدامات مخرب دیگر است. پس از هدایت کاربران به صفحه جعلی بهروزرسانی مرورگر، در این صفحه یک لینک دانلود قرار داده شده است که به یک فایل ZIP به نام «Update.zip» اشاره دارد. این فایل ZIP در پلتفرم Discord میزبانی شده و به صورت خودکار در دستگاه قربانی دانلود میشود. این کار دستگاه قربانی را با بدافزارهای موجود در فایل ZIP آلوده میکند. در داخل این فایل ZIP، یک فایل جاوااسکریپت دیگر به نام «Update.js» وجود دارد. این فایل جاوااسکریپت باعث اجرای اسکریپتهای PowerShell میشود. وظیفه این اسکریپتها دانلود payloadهای اضافی از یک سرور راه دور است. این payloadهای اضافی شامل بدافزارهایی مانند BitRAT و Lumma Stealer هستند که به شکل فایلهای تصویر PNG دریافت میشوند تا از شناسایی بدافزارها جلوگیری شود.
لطفاً براي ارسال دیدگاه، ابتدا وارد حساب كاربري خود بشويد