یک بدافزار جدید و پیچیده که اطلاعات کاربران را سرقت میکند!

به گزارش مجله خبری نگار/بهداشت نیوز،بدافزار جدیدی که افزونه‌های مخرب را به‌اجبار روی کروم و اج نصب می‌کند، صد‌ها هزار کاربر این مرورگر‌ها را در معرض خطر امنیتی قرار داده است.

به گزارش زومیت، پژوهشگران امنیتی ReasonLabs کمپین بدافزاری گسترده‌ای را کشف کرده‌اند که هم‌اکنون فعال است و افزونه‌های مخرب را به‌اجبار روی سیستم قربانیان نصب می‌کند. این نصب‌کننده و افزونه‌ها که به‌صورت جهانی درحال گسترش هستند، حداقل ۳۰۰ هزار کاربر گوگل کروم و مایکروسافت اج را در معرض خطر قرار داده اند و با تغییر فایل‌های اجرایی مرورگر، تاریخچه‌ی مرور آنها را سرقت می‌کنند.

بدافزار‌های جدید شامل تعدادی افزونه‌ی ساده‌ی تبلیغاتی و اسکریپت‌های مخرب پیچیده‌تر هستند که برای سرقت داده‌های خصوصی و اجرای دستورات مختلف روی دستگاه‌های آلوده مورد استفاده قرار می‌گیرند. نکته‌ی مهم اینکه این بدافزار‌ها معمولاً ابزار‌های آنتی‌ویروس را دور می‌زنند.

بدافزار‌های جدید از سال ۲۰۲۱ ازطریق وب‌سایت‌های دانلود جعلی‌ای که افزونه‌هایی برای بازی‌های آنلاین و ویدیو‌ها ارائه می‌دهند، گسترش یافته‌اند.

به‌گفته‌ی ReasonLabs، سازندگان بدافزار تروجان، فایل نصب‌کننده‌ی آن را با عنوان‌های جعلی مختلف ازجمله Roblox FPS Unlocker، Youtube، VLC Media Player یا KeePass در وب‌سایت‌های خود ارائه می‌دهند تا کاربران را به دانلود و نصب بدافزار ترغیب کنند. فایل‌های اجرایی دانلودشده از این وب‌سایت‌های جعلی حتی نرم‌افزار مورد نظر کاربران را نصب نمی‌کنند و فقط تروجان‌ها را روی سیستم هدف قرار می‌دهد.

پژوهشگران ReasonLabs می‌گویند: «هنگامی که کاربران بدافزار‌ها را از وب‌سایت جعلی دانلود می‌کنند، بدافزار با استفاده از نام مستعار مشابه الگوی نام فایل اسکریپت پاورشل ازجمله Updater_PrivacyBlocker_PR۱، MicrosoftWindowsOptimizerUpdateTask_PR۱ و NvOptimizerTaskUpdater_V۲ اقدامات زمان‌بندی‌شده‌ای را انجام خواهد داد. بدافزار مورد اشاره برای اجرای اسکریپت پاورشل از نامی مشابه -File C:/Windows/System۳۲/NvWinSearchOptimizer.ps۱″ بهره می‌برد و پس از اجرا، سایر فایل‌های مخرب را از سرور راه‌دور دانلود و روی دستگاه قربانی نصب می‌کند.»

اسکریپت پاورشل در پوشه‌ی system۳۲ نوشته شده است که اسکریپت مرحله‌ی دوم را به‌طور مستقیم روی حافظه فراخوانی می‌کند. هنگامی که اسکریپت پاورشل اجرا شود، مقادیر رجیستری را برای اجبار نصب افزونه‌های مخرب به سیستم‌عامل اضافه می‌کند. این افزونه‌ها باعث می‌شوند کاربران هنگام جست‌وجوی وب در مرورگر، به وب‌سایت مورد نظر مهاجم هدایت شوند.

اسکریپت مخرب در مرحله‌ی بعد با تغییر کلید‌های رجیستری کروم و اج، افزونه‌های مخرب را نصب و غیرفعال‌کردن آنها را حتی ازطریق تنظیمات معمولی مرورگر، سخت‌تر می‌کند. این افزونه‌ها چندین فعالیت مخرب انجام می‌دهند که ازجمله می‌توان به هدایت کاربر به وب‌سایت‌های مخرب هنگام استفاده از موتور‌های جست‌وجوی شناخته‌شده اشاره کرد.

ReasonLabs می‌گوید جدیدترین نسخه‌ی بدافزار، فایل‌های DLL هسته‌ی مرورگر را که گوگل کروم و مایکروسافت اج از آنها استفاده می‌کنند، برای هدایت کاربر از صفحه‌ی اصلی مرورگر به صفحه‌ی مورد نظر هکر‌ها تغییر می‌دهد.

تیم تحقیقاتی ReasonLabs پس از کشف بدافزار‌های جدید، گوگل و مایکروسافت را مطلع کرد. مایکروسافت همه‌ی افزونه‌های مخرب شناسایی‌شده را از فروشگاه افزونه‌های اج حذف کرده است، اما برخی از افزونه‌های مخرب هنوز هم در فروشگاه وب گوگل کروم وجود دارند.