هنگام مرور یک سایت با دامنه وردپرس، یک پیغام جاوا اسکریپت برای بهروزرسانی فونتهای از دست رفته روی این مرورگر، اجازه دانلود یک برنامه جهت حل این مشکل را از کاربر میخواهد و با استفاده از پیغامهایی شبیه به پیامهای بهروزرسانی گوگل کروم، سعی در اجرای عملیات تخریبی خود دارد.
به گزارش جماران، مرکز ماهر (مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای)، در بررسی سایتها برای کشف بدافزارهای جدید، هنگام مرور یک سایت وردپرس (Wordpress) به صورت ناگهانی با یک پیغام جاوا اسکریپت (JavaScript) برخورد کرده است که برای بهروزرسانی فونتهای از دست رفته روی این مرورگر، اجازه دانلود یک برنامه جهت رفع این مشکل را از کاربر میخواهد و برای این کار از یک پیغام بهروزرسانی استفاده میشود.
این پیغام با استفاده از پیغامهایی شبیه به پیغامهای بهروزرسانی گوگل کروم، سعی در اجرای عملیات تخریبی خود را دارد.
در این پیغام، برخی مسایل ذکرشده صحیح و برخی اشتباه است. تکست (Text) یا متن در مرورگر ارائه (Render) نمیشود، پس احتیاجی به یک بسته (Pack) جدید برای بهروزرسانی جهت نمایش بخشی از سایت نیست. اما نام فونت HoeflerText صحیح است و ما فونتی به این نام را داریم که پیغام اصلی برای دانلود و نصب این فونت است.
نوع متن نوشتهشده، لوگوی گوگل کروم، دکمه آبی رنگ در پایین پیغام، نمایش ورژنها و در کل شمای کلی پیغام نمایش داده شده، بسیار دقیق و صحیح آمادهسازی شده است که کاربر به احتمال زیاد، این پیغام را با یک پیغام اصلی خود مرورگر اشتباه بگیرد و اجازهانجام عملیات را برای نفوذگر فراهم آورد.
میتوان گفت که به راحتی با استفاده از تابع windows.navigator.useragent میتوان نسخه دقیق مرورگر نصبشده را به دست آورد، در حالی که در تصویر پیغام فوق، به صورت Hard Coded شده یک شماره از یکی از نسخههای مرورگر نمایش داده میشود که در اینجا صحیح نیست. زیرا نسخه مرورگر کاربر با نسخه مرورگر نمایش داده شده متفاوت است.
پس از کلیک روی دکمه بهروزرسانی (Update)، یک فایل به نام Chrome Font v۷.۵.۱.exe دانلود میشود. این فایل همان بدافزاری است که توسط این پیغام برای کاربر ارسال میشود و در صورت نصب آن توسط کاربر، بدافزار روی سیستم عامل ویندوز نصب میشود.
پس از دانلود فایل مخرب، برای اجرای آن پیغامی مبنی بر صدور مجوز جهت اجرای برنامه دانلود شده از شما پرسیده خواهد شد. باز هم این بدافزار توسط یک پیغام، کاربر را به انجام این عمل و اجرای برنامه ترغیب میکند.
پیغام سیستم امنیتی UAC ویندوز برای اجرای این فایل دانلودشده، نمایش داده شده است. اما نامی که در صفحه راهنما به نام Chrome_Font.exe برای کاربر نمایش داده شده بود، با نام فایلی که هم اکنون بر روی سیستم قربانی دانلود شده است تفاوت دارد که نام فایل دانلودشده همان Chrome Font v۷.۵.۱.exe است.
حال اگر این فایل را در سایتVirus Total برای بررسی آن توسط آنتیویروسها قرار دهیم، میبینیم که ۹ عدد از نرمافزارهای ویروسیاب آن را به عنوان یک فایل مخرب گزارش میدهند.
