محققان امنیتی در خصوص کمپین جدید بهروزرسانی مرورگر کروم جعلی هشدار دادند که از بدافزار جدیدی به نام FakeUpdateRU برای فریب کاربران و دانلود یک تروجان دسترسی از راه دور استفاده می-کند. این کمپین پس از اینکه بدافزار قبلاً وبسایتهای متعددی را تحت تأثیر قرار داده بود، آشکار شد که بعداً توسط Google نیز مورد توجه قرار گرفت.
به گفته محققان Sucuri، این بدافزار هم بر سایتهای وردپرس و هم بر پلتفرمهای CMS تأثیر میگذارد. به این صورت که:
• بدافزار فایل اصلی index.php را بازنویسی میکند تا محتوای وبسایت را با یک پوشش مخرب جایگزین کند.
• در برخی موارد، بدافزار در فایلهای index.html تحت پوشه wp-content تزریق شده است.
• برخی از این وبسایتهای آلوده حاوی کد جاوا اسکریپت بودند که برای ارتباط با کانال تلگرام استفاده میشود.
• مهاجمان از تلگرام جهت مدیریت اعلانها، استفاده خواهند کرد.
اخیراً، محققان Sekioa کمپین مشابهی را مشاهده کردند که از بدافزار جدید ClearFake استفاده کرده است. راهکارها و روشهای مورد استفاده در کمپین مشابه کمپینهای SocGholish و FakeSG بود که عمدتاً حول محور استفاده از روشهای مهندسی اجتماعی و فریب کاربران برای نصب بهروزرسانیهای جعلی مرورگر وب بود.
محصولات تحت تاثیر
بررسیها نشان میدهد که حمله اخیر مبتنی بر فریب کاربران جهت دانلود نسخههای جعلی و آلوده مرورگر کروم شرکت گوگل بوده است. اما با توجه به سوابق پیشین آن، امکان آلوده بودن ابزارهای مشابه نیز وجود دارد.
توصیههای امنیتی
ظهور یک بدافزار جدید جعلی بهروزرسانی Google Chrome یادآور این است که ارتقاء مرورگر/ها با استفاده از رویههای استاندارد از اهمیت بالایی برخوردار است. به کاربران توصیه می شود که به طور مرتب بر افزونهها و تمهای مورد استفاده در سایتهای خود نظارت کنند. پشتیبانگیری منظم از وبسایتها و پیادهسازی صحیح پیکربندیهای فایروال جهت جلوگیری از حملات بدافزارهایی مانند FakeUpdateRU بسیار مهم است.
منبع خبر:
[1] https://cyware.com/news/fakeupdateru-new-malware-camouflaged-as-fake-chrome-update-ae537160
- 170