تهدیدی جدی برای کاربران کروم و اج. بدافزاری که مرورگرها را آلوده می کند

یک بدافزار جدید که به اجبار افزونه های مخرب را روی کروم و اج نصب می کند، صدها هزار کاربر این مرورگرها را در معرض خطر قرار داده است.

به گفته زومیت، محققان امنیتی در ReasonLabs یک کمپین بدافزار عظیم را کشف کرده‌اند که اکنون فعال است و نصب پلاگین‌های مخرب را بر روی سیستم‌های قربانیان مجبور می‌کند. این نصب‌کننده‌ها و برنامه‌های افزودنی که در سطح جهانی توزیع شده‌اند، حداقل 300000 کاربر گوگل کروم و مایکروسافت اج را در معرض خطر قرار می‌دهند و با تغییر فایل‌های اجرایی مرورگر، سابقه مرور آنها را به سرقت می‌برند.

بدافزار جدید شامل مجموعه ای از پلاگین های ساده افزارهای تبلیغاتی و اسکریپت های مخرب پیچیده تر است که برای سرقت داده های خصوصی و اجرای دستورات مختلف بر روی دستگاه های آلوده طراحی شده اند. نکته مهم این است که این بدافزار معمولا ابزارهای آنتی ویروس را دور می زند.

بدافزار جدید 2021 از طریق وب‌سایت‌های دانلود جعلی که افزونه‌هایی را برای بازی‌ها و ویدیوهای آنلاین ارائه می‌کنند، منتشر شده است.

به گفته ReasonLabs، سازندگان بدافزار تروجان فایل نصب آن را تحت عناوین مختلف جعلی مانند Roblox FPS Unlocker، Youtube، VLC Media Player یا KeePass در وب سایت های خود ارائه می دهند تا کاربران را برای دانلود و نصب بدافزار فریب دهند. فایل های اجرایی دانلود شده از این وب سایت های جعلی حتی نرم افزار مورد نظر کاربران را نصب نمی کنند و فقط تروجان ها را روی سیستم هدف قرار می دهند.

محققان در ReasonLabs می‌گویند: «وقتی کاربران بدافزار را از یک وب‌سایت جعلی دانلود می‌کنند، بدافزار با استفاده از نام‌های مستعار شبیه به الگوی نام فایل اسکریپت PowerShell، از جمله Updater_PrivacyBlocker_PR1، MicrosoftWindowsOptimizerUpdateTask_PR1 و NvOptimizerTaskU استفاده می‌کند.» :/Windows/System32/NvWinSearchOptimizer.ps1” برای اجرای اسکریپت PowerShell و پس از اجرا، فایل های مخرب دیگر را از سرور راه دور دانلود کرده و روی دستگاه قربانی نصب می کند.

اسکریپت PowerShell در پوشه system32 نوشته شده است که اسکریپت مرحله دوم را مستقیماً در حافظه فراخوانی می کند. هنگامی که اسکریپت PowerShell اجرا می شود، مقادیر رجیستری را اضافه می کند تا نصب افزونه های مخرب را در سیستم عامل مجبور کند. این افزونه ها باعث می شوند که کاربران هنگام مرور وب در مرورگر به وب سایت مورد نظر مهاجم هدایت شوند.

در مرحله بعد، اسکریپت مخرب کلیدهای رجیستری کروم و اج را تغییر می‌دهد و نصب و غیرفعال کردن افزونه‌های مخرب را حتی از طریق تنظیمات معمولی مرورگر دشوارتر می‌کند. این افزونه‌ها چندین فعالیت مخرب از جمله هدایت کاربر به وب‌سایت‌های مخرب هنگام استفاده از موتورهای جستجوی محبوب را انجام می‌دهند.

طبق گفته ReasonLabs، آخرین نسخه این بدافزار DLL های اصلی مرورگر مورد استفاده توسط گوگل کروم و مایکروسافت اج را تغییر می دهد تا کاربر را از صفحه اصلی مرورگر به صفحه مورد هدف هکرها هدایت کند.

پس از کشف بدافزار جدید، تیم تحقیقاتی ReasonLabs به گوگل و مایکروسافت اطلاع داد. مایکروسافت همه افزونه‌های مخرب شناسایی شده را از فروشگاه افزونه‌های Edge حذف کرده است، اما برخی از برنامه‌های افزودنی مخرب در فروشگاه وب Google Chrome باقی می‌مانند.