مهاجمان سایبری با استفاده از بهروزرسانیهای جعلی مرورگرها، بدافزارهایی نظیر BitRAT و Lumma Stealer را توزیع میکنند. این حملات با هدایت کاربران به وبسایتهای آلوده و دانلود فایلهای مخرب توسط آنها آغاز میشوند. با بازدید قربانیان از یک وبسایت آلوده که در آن کدی به زبان جاوااسکریپت قرار داده شده است، کاربران به یک صفحه جعلی بهروزرسانی مرورگر هدایت میشوند که تحت دامنهای مانند "abcde-app[.]cloud" قرار دارد. هدف این حمله فریب کاربران برای دانلود و نصب نرمافزارهای مخرب یا انجام اقدامات مخرب دیگر است.
پس از هدایت کاربران به صفحه جعلی بهروزرسانی مرورگر، در این صفحه یک لینک دانلود قرار داده شده است که به یک فایل ZIP به نام "Update.zip" اشاره دارد. این فایل ZIP در پلتفرم Discord میزبانی میشود و به صورت خودکار در دستگاه قربانی دانلود میشود. این کار دستگاه قربانی را با بدافزارهای موجود در فایل ZIP آلوده میکند. در داخل این فایل ZIP، یک فایل جاوااسکریپت دیگر به نام "Update.js" وجود دارد. این فایل جاوااسکریپت باعث اجرای اسکریپتهای PowerShell میشود. وظیفه این اسکریپتها دانلود payloadهای اضافی از یک سرور راه دور است. این payloadهای اضافی شامل بدافزارهایی مانند BitRAT و Lumma Stealer هستند که به شکل فایلهای تصویر PNG دریافت میشوند تا از شناسایی بدافزارها جلوگیری شود.
علاوه بر دانلود بدافزارهای BitRAT و Lumma Stealer، اسکریپتهای PowerShell دیگری نیز به این روش دریافت میشوند که هدف آنها ایجاد پایداری در سیستم قربانی است. همچنین یک لودر مبتنی بر .NET دریافت میشود که با هدف راهاندازی بدافزارهای نهایی استفاده میشود.
جزئیات بدافزارها و برخی تکنیکهای مربوط به این حمله به شرح ذیل است:
- BitRAT: یک بدافزار کنترل از راه دور (RAT) با ویژگیهای پیشرفته است که به مهاجمان امکان جمعآوری دادهها، استخراج ارزهای دیجیتال، دانلود فایلهای اجرایی و کنترل سیستمهای آلوده از راه دور را میدهد.
- Lumma Stealer: یک بدافزار سرقت اطلاعات است که قادر است اطلاعاتی را از مرورگرهای وب، کیفپولهای ارز دیجیتال و سایر برنامهها و منابع حساس استخراج کند.
وبسایت مخربی که برای این حمله طراحی شده، ادعا میکند که "مشکلی در نمایش این صفحه وب پیش آمده" و از بازدیدکننده میخواهد تا دسترسی root را برای رفع مشکل فعال کند و سپس کدهای مخرب را در powershell اجرا میکند. کد PowerShell مخرب پس از اجرا چندین کار را انجام میدهد:
1. پاکسازی کش DNS: کد PowerShell کش DNS سیستم را پاکسازی میکند تا مطمئن شود که هیچ ردپای شبکهای باقی نمیماند و ارتباطات جدید با سرورهای مخرب برقرار میشود.
2. نمایش یک Message Box: یک پیام به کاربر نمایش میدهد، احتمالاً برای ایجاد نوعی اطمینان یا فریب بیشتر.
3. دانلود کدهای PowerShell بیشتر: کدهای اضافی PowerShell را جهت اجرای عملکردهای مخرب بیشتری دانلود میکند.
4. نصب بدافزار 'LummaC2': بدافزار LummaC2 را برای کنترل از راه دور سیستم آلوده و سرقت اطلاعات حساس نصب میکند.
بدین ترتیب این کد به طور هوشمندانهای چندین عملیات را جهت جلوگیری از شناسایی و حذف توسط سیستمهای امنیتی اجرا کرده و دسترسی کامل به سیستم قربانی را برای مهاجمان ممکن میسازد.
توصیههای امنیتی:
بیش از ۵۰,۰۰۰ لینک خطرناک در شش ماه گذشته برای توزیع بدافزارها، انجام حملات فیشینگ و ارسال هرزنامه (ایمیلهای اسپم) استفاده شدهاند که نشاندهنده افزایش فراگیری این نوع حملات است. بنابراین، لازم است که کاربران و سازمانها نه تنها به بهروزرسانیهای امنیتی سیستمهای خود اهمیت دهند، بلکه به آگاهی و آموزش مداوم درباره جدیدترین تهدیدات و روشهای حمله نیز توجه ویژهای داشته باشند. این تغییر در رویکرد به امنیت سایبری، میتواند کلید مقابله با موج جدید حملات هوشمندانه و پیچیده باشد.
منبع خبر:
https://thehackernews.com/2024/06/beware-fake-browser-updates-deliver.html
- 142