انتشار بدافزار با آپدیت قلم‌ها در کروم

تاریخ انتشار : ۱۵ اسفند ۱۳۹۵

هنگام مرور یک سایت با دامنه وردپرس، یک پیغام جاوا اسکریپت برای به‌روزرسانی فونت‌های از دست رفته روی این مرورگر، اجازه دانلود یک برنامه جهت حل این مشکل را از کاربر می‌خواهد و با استفاده از پیغام‌هایی شبیه به پیام‌های به‌روزرسانی گوگل کروم، سعی در اجرای عملیات تخریبی خود دارد.

به گزارش گرداب، در بررسی سایت‌ها برای کشف بدافزارهای جدید، هنگام مرور یک سایت وردپرس (Wordpress) به صورت ناگهانی با یک پیغام جاوا اسکریپت (JavaScript) برخورد کرده است که برای به‌روزرسانی فونت‌های از دست رفته روی این مرورگر، اجازه دانلود یک برنامه جهت رفع این مشکل را از کاربر می‌خواهد و برای این کار از یک پیغام به‌روزرسانی استفاده می‌شود.

انتشار بدافزار با آپدیت قلم‌ها در کروم

این پیغام با استفاده از پیغام‌هایی شبیه به پیغام‌های به‌روزرسانی گوگل کروم، سعی در اجرای عملیات تخریبی خود را دارد.

انتشار بدافزار با آپدیت قلم‌ها در کروم

در این پیغام، برخی مسایل ذکرشده صحیح و برخی اشتباه است. تکست (Text) یا متن در مرورگر ارائه (Render) نمی‌شود، پس احتیاجی به یک بسته (Pack) جدید برای به‌روزرسانی جهت نمایش بخشی از سایت نیست. اما نام فونت HoeflerText صحیح است و ما فونتی به این نام را داریم که پیغام اصلی برای دانلود و نصب این فونت است.

نوع متن نوشته‌شده، لوگوی گوگل کروم، دکمه آبی رنگ در پایین پیغام، نمایش ورژن‌ها و در کل شمای کلی پیغام نمایش داده شده، بسیار دقیق و صحیح آماده‌سازی شده است که کاربر به احتمال زیاد، این پیغام را با یک پیغام اصلی خود مرورگر اشتباه بگیرد و اجازهانجام عملیات را برای نفوذگر فراهم آورد.

می‌توان گفت که به راحتی با استفاده از تابع windows.navigator.useragent می‌توان نسخه دقیق مرورگر نصب‌شده را به دست آورد، در حالی که در تصویر پیغام فوق، به صورت Hard Coded  شده یک شماره از یکی از نسخه‌های مرورگر نمایش داده می‌شود که در اینجا صحیح نیست. زیرا نسخه مرورگر کاربر با نسخه مرورگر نمایش داده شده متفاوت است.

پس از کلیک روی دکمه به‌روزرسانی (Update)، یک فایل به نام Chrome Font v۷.۵.۱.exe دانلود می‌شود. این فایل همان بدافزاری است که توسط این پیغام برای کاربر ارسال می‌شود و در صورت نصب آن توسط کاربر، بدافزار روی سیستم عامل ویندوز نصب می‌شود.
انتشار بدافزار با آپدیت قلم‌ها در کروم


پس از دانلود فایل مخرب، برای اجرای آن پیغامی مبنی بر صدور مجوز جهت اجرای برنامه دانلود شده از شما پرسیده خواهد شد. باز هم این بدافزار توسط یک پیغام، کاربر را به انجام این عمل و اجرای برنامه ترغیب می‌کند.
انتشار بدافزار با آپدیت قلم‌ها در کروم


پیغام سیستم امنیتی UAC ویندوز برای اجرای این فایل دانلودشده، نمایش داده شده است. اما نامی که در صفحه راهنما به نام Chrome_Font.exe برای کاربر نمایش داده شده بود، با نام فایلی که هم اکنون بر روی سیستم قربانی دانلود شده است تفاوت دارد که نام فایل دانلودشده همان  Chrome Font v۷.۵.۱.exe است.

حال اگر این فایل را در سایتVirus Total  برای بررسی آن توسط آنتی‌ویروس‌ها قرار دهیم، می‌بینیم که ۹ عدد از نرم‌افزارهای ویروس‌یاب آن را به عنوان یک فایل مخرب گزارش می‌دهند.

انتشار بدافزار با آپدیت قلم‌ها در کروم