آلوده‌سازی دستگاه از طریق به‌روزرسان جعلی Flash؛ این‌بار کمی متفاوت‌تر

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

آلوده‌سازی دستگاه از طریق به‌روزرسان جعلی Flash؛ این‌بار کمی متفاوت‌تر
q1005
آلوده‌سازی دستگاه‌ها به بدافزار در قالب به‌روزرسانی‌های جعلی Flash روشی است که سالهاست بسیاری از مهاجمان برای رخنه به اهداف خود از آن بهره‌گیری می‌کنند. متاسفانه در اکثر مواقع کاربران در دام این تکنیک مهندسی اجتماعی می‌افتند.
در گزارشی که پالوآلتو نت‌ورکز آن را منتشر کرده، این شرکت امنیتی از روش جدیدی پرده برداشته که در آن حتی کاربران حرفه‌ای و باتجربه نیز ممکن است با دست خود بدافزار را بر روی دستگاه نصب کنند.
آنچه کاربر در این روش با آن روبرو می‌شود نه فقط پنجره‌هایی مشابه پنجره‌های ادوبی که پنجره‌های بالابر و سایت واقعی ادوبی است. حتی با تایید کاربر، Flash Player نصب شده بر روی دستگاه قربانی به آخرین نسخه این نرم‌افزار ارتقا می‌یابد!
تصویر زیر اولین پنجره ظاهر شده پس از اجرای فایل به‌روزرسان جعلی را نشان می‌دهد:
q1006
با کلیک بر روی دگمه Yes، آن‌چه منبعد ظاهر می‌شود به‌روزرسان و سایت واقعی ادوبی است (تصاویر زیر):
q1007
q1008
q1009
q1010
اما همزمان با نصب نسخه جدید ادوبی، در پشت صحنه یک استخراج‌کننده ارز رمز XMRig نیز بر روی دستگاه نصب و به اجرا در می‌آید.
بررسی ترافیک تبادل شده در بستر شبکه نشان می‌دهد که عمده ارتباطات اولیه، درخواست‌هایی است که به سرورهای ادوبی ارسال می‌شوند؛ موضوعی که احتمال مشکوک شدن کاربر به جعلی و مخرب بودن به‌روزرسان را بسیار کاهش می‌دهد. با این حال با استفاده از پودمان HTTP POST درخواستی نیز به سایت osdsoft[.]com که مرتبط با استخراج کننده ارز رمز XMRig است برقرار می‌شود.
در ادامه فرآیند رمز ربایی (Cryptojacking) آغاز و از طریق درگاه 14444 در بستر پودمان TCP نیز ارتباطاتی برقرار می‌شود.
در گزارش پالوآلتو نت‌ورکز بر این موضوع تاکید شده که ریسک کمتری متوجه آن دسته از سازمان‌هایی است که ضمن بهره‌گیری از سیستم پالایش وب دقیق نسبت به آموزش کاربران خود اقدام می‌کنند.
مشروح گزارش پالوآلتو نت‌ورکز در اینجا قابل دریافت و مطالعه است.