به گزارش کلیک، محققین بدافزار جدیدی را کشف کردند که به صورت هدفمند کاربران مرورگر کروم را بر روی سیستم عامل ویندوز هدف قرار می دهد. این مورد برای اولین بار در ماه دسامبر رویت شد. کمپین تولیدکننده این بدافزار از نام عجیب EITest برای خود استفاده می کند. این بدافزار پیش از این در چندین کیت نفوذ که در جهت دزدی هویت کاربران، باج گیری و انواع مختلف حملات دیگر، مورد استفاده قرار گرفته، دیده شده است. اما در حال حاضر این بدافزار بیشتر به دنبال حملات هدفمند است تا این که در کیت های نفوذ، قرار گیرد.

حمله به کروم به وسیله جایگزینی تگ های HTML و تخریب صفحات وب

پژوهشگران امنیتی در مرکز Proofpoint به اطلاعات تازه ای درباره کمپین مخربی دست یافتند که مرورگر کروم را مورد هدف قرار می دهد. به محض این که بدافزار این کمپین مرورگری را در سیستم کاربر شناسایی می کند، کد مورد نظر به صفحه تزریق می شود، یک پیغام هشدار را نمایش می دهد و باعث خواهد شد تا محتویات صفحه غیرقابل خواندن باشد. از آن جایی که با کلیک بر روی آیکن “X” نمی توان این پیغام هشدار را بست، بنابراین احتمالا کاربران بر روی گزینه Update کلیک خواهند کرد. همین امر باعث خواهد شد تا بدافزار مورد نظر فایلی را دانلود و نصب نماید که تصور می شود که آن یک فایل فونت است.

تیم امنیتی می گوید: فایل “Chrome_Font.exe” یک بدافزار کلاهبرداری تبلیغاتی است که Fleercivet نامیده می شود. (این نامی است که مایکروسافت به آن داده است.) این بدافزار به قربانی خود می گوید که فونت خاصی (در این مثال “HoeflerText”) در سیستم یافت نشده است و کاربر باید بلافاصله به روز رسانی مرورگر را انجام دهد. از آن جایی که در این پنجره پاپ آپ لوگوی گوگل نیز در سمت راست و بالای پنجره به همراه دکمه هایی که دقیقا مشابه دکمه های به کار رفته در این مرورگر است، مشاهده می شود در نتیجه کاربر راحت تر فریب می خورد و تصور می کند که این یک پیغام رسمی از طرف مرورگر کروم و شرکت گوگل است.

در قسمت زیر به نحوه عملکرد این بدافزار اشاره شده است:

چنانچه قربانی همان فاکتورهایی را که مدنظر بدافزار است داشته باشد، یعنی کشور مورد نظر، سیستم عامل و مرورگر مورد نظر (که مرورگر باید کروم و سیستم عامل باید ویندوز باشد.)  و ارجاع دهنده مناسب ( منظور از ارجاع دهنده وب سایتی است که در آن لینک خاصی قرار دارد و کاربر با کلیک بر روی لینک مورد نظر به صفحه دیگری هدایت می شود.) در نتیجه کد مدنظر بدافزار در صفحه قرار داده می شود و وب سایتی که در معرض خطر قرار دارد طوری بر روی مرورگر قربانی بازنویسی می شود که اطلاعات موجود در صفحه آن قابل خواندن نباشد. در نهایت نیز این بدافزار با ساخت یک محتوای جعلی کاربر را فریب می دهد. توجه داشته باشید که کاربران مرورگر اینترنت اکسپلورر چنانچه فاکتورهای دیگری را داشته باشند ممکن است بیشتر مورد حمله کیت های  نفوذ، قرار گیرند.

اطلاعات این گونه صفحات در آرایه ای از تگ های HTML ذخیره می شود و سپس بر روی آن ها عبارت “&#0” جایگزین می گردد که یک کارکتر ISO غلط است و بدین وسیله محتویات صفحات غیرقابل خواندن می شوند. در نهایت نیز کارکترهای � [۹] به جای کارکترهای اصلی نمایش داده می شوند.

پس از آلوده شدن سیستم، کامپیوتر شروع به باز کردن صفحات مختلف در پس زمینه به طور خودکار خواهد کرد. کمپین EITest که جدیدترین آلودگی های خود را معطوف به مرورگر کروم کرده است، پیش از این به منظور سوء استفاده از بسیاری از سایت ها مورد استفاده قرار گرفته بود، که به عنوان یک آسیب پذیری در سایت های تحت وردپرس و جوملا شاخته می شد. گروهی که این بدافزار را نوشته اند کاربران را از سایت های آلوده به یک کد مخرب هدایت می کردند که این کد مخرب در کیت های نفوذ به کار گفته می شد. اما جدیدترین استراتژی حمله هم اکنون متفاوت است. چون ابتدا این بدافزار هدف خود را از پای در می آورد و سپس حمله خود را آغاز می نماید.

حملاتی که اخیرا توسط “فونت” در کروم صورت می گیرد در واقع بستگی به این دارد که آیا کاربر بر روی دکمه download یا update کلیک کند یا خیر.

محققان می گویند: چون هکرها دریافتند که به سختی می توانند به وسیله کیت های نفوذ تغییری در سیستم کاربر ایجاد کنند (در واقع کاربر را به نوعی مجبور به نصب بدافزار کنند) در نتیجه از یک تاکتیک جدید استفاده کردند. همانند سایر نفوذهای کامپیوتری، هکرها سعی می کنند از طریق نیروی انسانی به کامپیوتر قربانی نفوذ کنند. آن ها کاربران طوری فریب می دهند تا خودشان (کاربران) بدافزار را بر روی سیستم خود اجرا نمایند. پس این که این اتفاق رخ داد سپس هکرها کدهای مورد نظر را به وب سایت ها وارد می کنند و در ادامه نیز پس از این که ظاهر سایت برای کاربر کاملا غیرعادی به نظر رسید، با ارائه راه حل های جعلی کاربر را فریب می دهند.