الأمن السيبراني Chrome, Rogue, ألف, إلى, باستخدام, برامج, تصل, جديدة, ضارة, مستخدم, ملحقات, وEdge eshrag أغسطس 10, 2024 0 تعليقات

برامج ضارة جديدة تصل إلى 300 ألف مستخدم باستخدام ملحقات Rogue Chrome وEdge

10 أغسطس 2024رافي لاكشمانانأمن المتصفح / الاحتيال عبر الإنترنت

تمت ملاحظة حملة برمجيات خبيثة مستمرة وواسعة النطاق تقوم بتثبيت ملحقات Google Chrome وMicrosoft Edge المارقة عبر حصان طروادة يتم توزيعه عبر مواقع الويب المزيفة التي تتنكر في صورة برامج شائعة.

“تحتوي برامج طروادة الضارة على مخرجات مختلفة تتراوح بين امتدادات برامج الإعلانات المتسللة البسيطة التي تخترق عمليات البحث إلى البرامج النصية الضارة الأكثر تعقيدًا التي توفر امتدادات محلية لسرقة البيانات الخاصة وتنفيذ أوامر مختلفة،” فريق أبحاث ReasonLabs قال في التحليل.

“نشأت برامج طروادة الضارة هذه، الموجودة منذ عام 2021، من تقليد مواقع التنزيل التي تحتوي على وظائف إضافية للألعاب ومقاطع الفيديو عبر الإنترنت.”

تتمتع البرامج الضارة والملحقات بوصول مشترك إلى ما لا يقل عن 300000 مستخدم لمتصفحي Google Chrome وMicrosoft Edge، مما يشير إلى أن النشاط له تأثير واسع النطاق.

يكمن جوهر الحملة في استخدام الإعلانات الضارة لدفع مواقع الويب المشابهة التي تروج لبرامج معروفة مثل Roblox FPS Unlocker أو YouTube أو مشغل وسائط VLC أو Steam أو KeePass لخداع المستخدمين الذين يبحثون عن هذه البرامج لتنزيل حصان طروادة، الذي يعمل كقناة لتثبيت ملحقات المتصفح.

تسجل أدوات التثبيت الضارة الموقعة رقميًا مهمة مجدولة، والتي بدورها يتم تكوينها لتنفيذ برنامج PowerShell النصي المسؤول عن تنزيل وتنفيذ حمولة المرحلة التالية التي تم جلبها من خادم بعيد.

يتضمن ذلك تعديل سجل Windows لفرض تثبيت الملحقات من Chrome Web Store وMicrosoft Edge Add-ons القادرة على الاستيلاء على استعلامات البحث على Google وMicrosoft Bing وإعادة توجيهها عبر خوادم يتحكم فيها المهاجم.

قال ReasonLabs: “لا يمكن للمستخدم تعطيل الامتداد، حتى مع تشغيل وضع المطور”. “الإصدارات الأحدث من البرنامج النصي تزيل تحديثات المتصفح.”

كما يطلق أيضًا ملحقًا محليًا يتم تنزيله مباشرة من خادم الأوامر والتحكم (C2)، ويأتي بقدرات واسعة لاعتراض جميع طلبات الويب وإرسالها إلى الخادم، وتلقي الأوامر والبرامج النصية المشفرة، وحقن البرامج النصية وتحميلها في جميع الصفحات.

علاوة على ذلك، فهو يخطف استعلامات البحث من Ask.com وBing وGoogle، ويوجهها عبر خوادمه ثم إلى محركات البحث الأخرى.

وهذه ليست المرة الأولى التي يتم فيها ملاحظة حملات مماثلة في البرية. في ديسمبر 2023، شركة الأمن السيبراني مفصل مثبت طروادة آخر يتم تسليمه من خلال السيول والذي يقوم بتثبيت ملحقات الويب الضارة التي تتنكر في شكل تطبيقات VPN ولكنها مصممة في الواقع لتشغيل “اختراق نشاط استرداد النقود”.

وجدت هذه المادة مثيرة للاهتمام؟ تابعونا على تغريد و ينكدين لقراءة المزيد من المحتوى الحصري الذي ننشره.

Source link