امنیت

فناوری اطلاعات

March 6, 2017
18:51 دوشنبه، 16ام اسفندماه 1395
کد خبر: 82698

انتشار بدافزار با آپدیت قلم‌ها در کروم

هنگام مرور یک سایت با دامنه وردپرس، یک پیغام جاوا اسکریپت برای به‌روزرسانی فونت‌های از دست رفته روی این مرورگر، اجازه دانلود یک برنامه جهت حل این مشکل را از کاربر می‌خواهد و با استفاده از پیغام‌هایی شبیه به پیام‌های به‌روزرسانی گوگل کروم، سعی در اجرای عملیات تخریبی خود دارد.
 
مرکز ماهر (مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای)، در بررسی سایت‌ها برای کشف بدافزارهای جدید، هنگام مرور یک سایت وردپرس (WordPress) به صورت ناگهانی با یک پیغام جاوا اسکریپت (JavaScript) برخورد کرده است که برای به‌روزرسانی فونت‌های از دست رفته روی این مرورگر، اجازه دانلود یک برنامه جهت رفع این مشکل را از کاربر می‌خواهد و برای این کار از یک پیغام به‌روزرسانی استفاده می‌شود.
 
 
این پیغام با استفاده از پیغام‌هایی شبیه به پیغام‌های به‌روزرسانی گوگل کروم، سعی در اجرای عملیات تخریبی خود را دارد.
 
 
در این پیغام، برخی مسایل ذکرشده صحیح و برخی اشتباه است. تکست (Text) یا متن در مرورگر ارائه (Render) نمی‌شود، پس احتیاجی به یک بسته (Pack) جدید برای به‌روزرسانی جهت نمایش بخشی از سایت نیست. اما نام فونت HoeflerText صحیح است و ما فونتی به این نام را داریم که پیغام اصلی برای دانلود و نصب این فونت است.
 
نوع متن نوشته‌شده، لوگوی گوگل کروم، دکمه آبی رنگ در پایین پیغام، نمایش ورژن‌ها و در کل شمای کلی پیغام نمایش داده شده، بسیار دقیق و صحیح آماده‌سازی شده است که کاربر به احتمال زیاد، این پیغام را با یک پیغام اصلی خود مرورگر اشتباه بگیرد و اجازهانجام عملیات را برای نفوذگر فراهم آورد.
 
می‌توان گفت که به راحتی با استفاده از تابع windows.navigator.useragent می‌توان نسخه دقیق مرورگر نصب‌شده را به دست آورد، در حالی که در تصویر پیغام فوق، به صورت Hard Coded  شده یک شماره از یکی از نسخه‌های مرورگر نمایش داده می‌شود که در اینجا صحیح نیست. زیرا نسخه مرورگر کاربر با نسخه مرورگر نمایش داده شده متفاوت است.
 
پس از کلیک روی دکمه به‌روزرسانی (Update)، یک فایل به نام Chrome Font v۷.۵.۱.exe دانلود می‌شود. این فایل همان بدافزاری است که توسط این پیغام برای کاربر ارسال می‌شود و در صورت نصب آن توسط کاربر، بدافزار روی سیستم عامل ویندوز نصب می‌شود.
 
 
پس از دانلود فایل مخرب، برای اجرای آن پیغامی مبنی بر صدور مجوز جهت اجرای برنامه دانلود شده از شما پرسیده خواهد شد. باز هم این بدافزار توسط یک پیغام، کاربر را به انجام این عمل و اجرای برنامه ترغیب می‌کند.
 
 
پیغام سیستم امنیتی UAC ویندوز برای اجرای این فایل دانلودشده، نمایش داده شده است. اما نامی که در صفحه راهنما به نام Chrome_Font.exe برای کاربر نمایش داده شده بود، با نام فایلی که هم اکنون بر روی سیستم قربانی دانلود شده است تفاوت دارد که نام فایل دانلودشده همان  Chrome Font v۷.۵.۱.exe است.
 
حال اگر این فایل را در سایتVirus Total  برای بررسی آن توسط آنتی‌ویروس‌ها قرار دهیم، می‌بینیم که ۹ عدد از نرم‌افزارهای ویروس‌یاب آن را به عنوان یک فایل مخرب گزارش می‌دهند.
 
 
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.