x

Blog

افزونه‌ی کروم یا درب‌پشتی؟!

خلاصه: یک افزونه‌ی مخرب مرورگر کروم و Edge، درب‌پشتی قدرتمندی را برای دزدیدن اطلاعات از مرورگرها و نظارت بر فعالیت‌های قربانیان توزیع می‌کند. این بدافزار از چندین تکنیک مهندسی اجتماعی در یک ایمیل همراه با یک ضمیمه استفاده می‌کند، این ایمیل حاوی اسناد مخربی است که بسیار مبهم‌سازی شده‌اند. و افزونه‌ی مخربی را در مرورگر بارگذاری می‌کنند. افزونه‌ی مخرب بارگذاری شده به‌عنوان یک درب‌پشتی طراحی شده است و اطلاعات صفحات و URLهای بازشده توسط کاربران را جمع‌آوری کرده و از طریق سرور کنترل و فرمان به مهاجم می‌فرستد.

 

یک افزونه‌ی مخرب مرورگر کروم و Edge، درب‌پشتی قدرتمندی را برای دزدیدن اطلاعات از مرورگرها و نظارت بر فعالیت‌های قربانیان توزیع می‌کند.

دانلودری که بدافزار را توزیع می‌کند، حاوی ابزار مدیریت راه دور Revisit و همچنین یک درب‌پشتی برای دردست گرفتن سیستم آلوده است. ظاهرا این دو پیلود از طرف یک گروه از نویسندگان بدافزار به اسم Moldova توزیع می‌شوند که این درب‌پشتی‌ها را از طریق ضمیمه‌های مخرب ایمیل‌های اسپم توزیع می‌کند.

این بدافزار از چندین تکنیک مهندسی اجتماعی در یک ایمیل همراه با یک ضمیمه استفاده می‌کند، این ایمیل حاوی اسناد مخربی است که بسیار مبهم‌سازی شده‌اند.

ابتدا یک دراپر مخرب یک فایل جاوااسکریپت را که زیپ شده است و شامل دو نوع پیلود است را اجرا می‌کند. یک پیلود مبتنی بر جاوا و دیگری مبتنی بر NodeJS.

پیلود NodeJS شامل چندین فایل است. زمانی که کاربران ماکرو را فعال می‌کنند، این ماکرو node.exe install.js را که شامل اسکریپت نصب هستند را اجرا می‌کنند.

سپس install.vbs برای افزایش امتیاز و اضافه کردن قوانین فایروال فراخوانی می‌شود. این کار برای فعال‌سازی ترافیک بین ابزار دسترسی راه دوری که نصب خواهد کرد، انجام می‌شود.

زمانی که ماژول‌های NodeJS و Java باز بودن مرورگرهای کروم و Edge را تشخیص می‌دهند، پروسه‌ی افزونه اصلی مرورگر را kill می‌کنند، و پروسه‌ی دیگری را ایجاد می‌کنند که افزونه‌ی مخرب را بارگذاری می‌کند. سپس بررسی‌های امنیتی را غیرفعال می‌کنند.

افزونه‌ی مخرب بارگذاری شده به‌عنوان یک درب‌پشتی طراحی شده است و اطلاعات صفحات و URLهای بازشده توسط کاربران را جمع‌آوری کرده و از طریق سرور کنترل و فرمان به مهاجم می‌فرستد.

این افزونه می‌تواند فعالیت‌های دیگری مانند کلیدهای فشرده شده، آیتم‌های انتخاب شده و مقادیر تایپ‌شده در هر فرمی از صفحات وب را نیز جمع‌آوری کنند.

 

    

Persian English French German Russian Spanish
کلیه حقوق این سایت متعلق به مرکز تخصصی آپا دانشگاه صنعتی اصفهان می‌باشد. استفاده از مطالب تنها در صورت دریافت تاییدیه کتبی مجاز است.

تحت نظارت وف ایرانی