گسترش کمپینهای بدافزار جدید توزیعکننده backdoor با افزونههای مخرب کروم
اخبار داغ فناوری اطلاعات و امنیت شبکهمجموعهای از کمپینهای مخرب نصبکنندههای جعلی برنامهها و بازیهای محبوب مانند Viber، WeChat، NoxPlayer و Battlefield به شکل فریبندهای برای فریب کاربران به سمت دانلود یک backdoor جدید و یک برنامه اکستنشن مخرب Google Chrome با هدف سرقت اطلاعات و اعتبارنامهها و دادههای ذخیره شده در سیستمهای در معرض خطر و همچنین حفظ دسترسی از راه دور مداوم، استفاده میکنند.
مجموعه Cisco Talos گفته است که payloadها را به یک عامل ناشناس با نام مستعار "magnat" نسبت داده و خاطرنشان کرد که "این دو دسته در معرض توسعه و بهبود مداوم توسط برنامهنویسانشان بوده اند".
اعتقاد بر این است که این حملات در اواخر سال ۲۰۱۸ آغاز شده است و با فعالیت متناوب در اواخر سال ۲۰۱۹ و تا اوایل سال ۲۰۲۰ و سپس به دنبال آن افزایشهای جدیدی از آوریل ۲۰۲۱ مشاهده شده است. عمدتاً کاربران در کانادا و به دنبال آن ایالات متحده، استرالیا، ایتالیا، اسپانیا و نروژ تحت تأثیر این حملات قرار گرفتهاند.
یکی از جنبههای قابل توجه این نفوذ، استفاده از تبلیغات به عنوان وسیلهای برای حمله به افرادی است که به دنبال نرمافزارهای محبوب در موتورهای جستجو هستند تا لینکهایی را برای دانلود نصبکنندههای جعلی به آنها ارائه دهند که یک سارق رمز عبور به نام RedLine Stealer، یک افزونه کروم به نام «MagnatExtension» را ارائه میکنند. این افزونه برای ضبط کلید وارد شده و گرفتن اسکرین شات برنامهریزی شده است و یک backdoor مبتنی بر AutoIt که دسترسی از راه دور به دستگاه ایجاد میکند را ایجاد مینماید.
افزونه MagnatExtension که به عنوان افزونه ایمن در مروگروگل کروم ظاهر میشود، ویژگیهای دیگری را نیز دارد که برای مهاجمان کاربردی است. از جمله آنها، توانایی سرقت دادههای فرم، جمعآوری کوکیها و اجرای کد دلخواه جاوا اسکریپت است. دادههای تله متری تجزیه و تحلیل شده توسط Talos نشان میدهد که اولین نمونه از این افزونه مرورگر در آگوست ۲۰۱۸ شناسایی شده است.
سرور command-and-control (C2) این افزونه نیز بسیار قابل توجه است. در حالی که آدرس C2 بسیار پیچیده کد شده است، میتواند توسط C2 فعلی با لیستی از دامنههای C2 اضافی و جدید به روز شود. اما در صورت شکست، به یک روش جایگزین باز میگردد که شامل دریافت یک آدرس C2 جدید از طریق جستجوی توییتر برای هشتگهایی مانند «#aquamamba2019» یا «#ololo2019» است.
سپس نام دامنه از متن توییت همراه با افزودن حرف اول هر کلمه ساخته میشود، به این معنی که توییتی با محتوای "Squishy turbulent areas terminate active round engines after dank years. Industrial creepy units" و حاوی هشتگ "#aquamamba2019" ساخته میشود، که به "stataready[.]icu ترجمه شده است".
هنگامی که یک سرور C۲ فعال در دسترس قرار میگیرد، دادهها شامل تاریخچه مرورگر، کوکیها، دادههای فرم، کلیدهای ورودی و اسکرینشاتها، جمعآوری شده و به شکل یک رشته JSON رمزگذاریشده در بادی درخواست HTTP POST، توسط کلیدی که در عملکرد رمزگشایی به صورت سخت کدگذاری گردیده رمزگذاری شده، استخراج میشوند. کلید رمزگذاری نیز به نوبه خود با کلید پابلیک سرور رمزگذاری میشود.
تیاگو پریرا، محقق Cisco Talos گفت: "بر اساس استفاده از سارقهای رمز عبور و یک افزونه کروم که شبیه به یک تروجان بانکی است، ارزیابیهای ما نشان میدهند که هدف مهاجم به دست آوردن اعتبارنامههای کاربران است که احتمالاً برای فروش یا برای استفاده شخصی خود در بهرهبرداری بیشتر و بعدی استفاده میشوند".
وی افزود: "انگیزه استقرار یک RDP Backdoor نامشخص است. به احتمال زیاد فروش دسترسی RDP، استفاده از RDP برای کار بر روی ویژگیهای امنیتی خدمات آنلاین بر اساس آدرس IP یا سایر ابزارهای نصب شده اندپوینت یا استفاده از RDP برای اقدامات بیشتر جهت بهرهبرداری از سیستمهایی که برای مهاجم جالب به نظر برسند، میباشند".
برچسب ها: RDP Backdoor, JSON, HTTP POST, ololo2019, aquamamba2019, Extension, MagnatExtension, AutoIt, RedLine Stealer, بتفیلد, وایبر, Battlefield, NoxPlayer, magnat, Payload, ویچت, WeChat, افزونه, Encryption, گوگل کروم, کروم, cybersecurity, RDP, Google Chrome, malware, Chrome, Viber, backdoor, Cisco Talos, رمزگذاری, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری