بدافزاری شناسایی شدهاست که توسط بهروزرسانی قلمها در مرورگر گوگل کروم انتشار پیدا میکند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در بررسی سایتها برای کشف بدافزارهای جدید هنگام مرور یک سایت Wordpress بهصورت ناگهانی یک پیغام JavaScript نمایش داده شد که برای بهروزرسانی font های ازدسترفته بر روی این مرورگر، اجازه دانلود یک برنامه جهت رفع این مشکل را از کاربر میخواست. برای این کار از یک پیغام بهروزرسانی استفادهمیکرد که در تصویر زیر آن پیغام را مشاهده میکنید:
در تصویر زیر مشاهده میکنید که چگونه با استفاده از پیغامهایی شبیه به پیغامهای بهروزرسانی گوگل کروم، سعی در اجرای عملیات تخریبی خود دارد:
در این پیغام برخی مسائل ذکر شده، صحیح و برخی اشتباه است. Text در مرورگر Render نمیشود، پس احتیاجی به یک Pack جدید برای بهروز رسانی جهت نمایش بخشی از سایت نیست، اما نام فونت HoeflerText صحیح است و ما فونتی به این نام داریم که پیغام اصلی برای دانلود و نصب این فونت است.
نوع متن نوشتهشده، لوگوی گوگل کروم، دکمه آبی رنگ در پایین پیغام، نمایش ورژنها و در مجموع شمای کلی پیغام نمایش دادهشده، بسیار دقیق و صحیح آمادهسازی شدهاست که کاربر به احتمال بالا، این پیغام را با یک پیغام اصلی خود مرورگر اشتباه بگیرد و اجازه انجام عملیات را برای نفوذگر فراهمآورد.
اشتباهات جالبی هم رخ دادهاست. میتوان گفت که بهراحتی با استفاده از تابع windows.navigator.useragent میتوان نسخه دقیق مرورگر نصبشده را بهدست آورد درحالیکه در تصویر پیغام فوق بهصورت Hard Coded شده یک شماره از یکی از نسخههای مرورگر نمایش دادهمیشود که در اینجا صحیح نیست، چراکه نسخه مرورگر ما ۵۶.۰.۲۹۲۴.۸۷ است درحالیکه در تصویر فوق، ۵۳.۰.۲۷۸۵.۸۹ نمایش داده شدهاست.
پس از کلیک بر روی دکمه Update میبینیم که یک فایل به نام Chrome Font v۷.۵.۱.exe دانلود میشود. این همان بدافزاری است که توسط این پیغام برای کاربر ارسال میشود و در صورت نصب آن توسط کاربر، بدافزار بر روی سیستمعامل ویندوز نصب میشود که در تصویر زیر مشاهده میکنید:
پس از دانلود فایل مخرب برای اجرای آن پیغامی مبنیبر صدور مجوز جهت اجرای برنامه دانلودشده از شما پرسیده خواهدشد. بازهم این بدافزار توسط پیغامی که در زیر مشاهده میکنید کاربر را به انجام این عمل و اجرای برنامه ترغیب میکند:
همانطور که مشاهده میکنید پیغام سیستم امنیتی UAC ویندوز برای اجرای این فایل دانلود شده نمایش داده شدهاست، اما نامی که در صفحه راهنما به نام Chrome_Font.exe برای کاربر نمایش داده شدهبود با نام فایلی که هماکنون بر روی سیستم قربانی دانلود شدهاست تفاوت دارد که نام فایل دانلودشده همان Chrome Font v۷.۵.۱.exe است. حال اگر این فایل را در سایت Virus Total برای بررسی آن توسط آنتیویروسها قرار دهیم، میبینیم که 9 نرمافزار ویروسیاب، آن را بهعنوان یک فایل مخرب گزارش میدهند که تصویر آن در زیر آمدهاست: