قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار افزونه رفع خرابی کروم

افزونه رفع خرابی کروم

تا Mezo در بدافزار, تهدید مداوم پیشرفته (APT)
ترجمه به:

محققان امنیت سایبری یک کمپین فعال به نام KongTuke را کشف کرده‌اند که از یک افزونه مخرب گوگل کروم که خود را به عنوان یک مسدودکننده تبلیغات جا می‌زند، سوءاستفاده می‌کند. این افزونه به گونه‌ای طراحی شده است که عمداً مرورگر را از کار بیندازد و قربانیان را از طریق مهندسی اجتماعی به سبک ClickFix وادار به اجرای دستورات تحت کنترل مهاجم کند. این آخرین تکامل این تکنیک با نام رمز CrashFix شناخته می‌شود و در نهایت یک تروجان دسترسی از راه دور که قبلاً مستند نشده بود و ModeloRAT نام دارد را ارائه می‌دهد.

KongTuke که با نام‌های 404 TDS، Chaya_002، LandUpdate808 و TAG-124 نیز شناخته می‌شود، به عنوان یک سیستم توزیع ترافیک (TDS) عمل می‌کند. این بدافزار محیط‌های قربانی را شناسایی کرده و اهداف انتخاب شده را به زیرساخت‌های تحویل بار مخرب هدایت می‌کند. سپس دسترسی به میزبان‌های آلوده به سایر عوامل تهدید، از جمله اپراتورهای باج‌افزار، فروخته یا منتقل می‌شود تا امکان نفوذ در مرحله ثانویه فراهم شود.

گروه‌های تهدیدی که قبلاً مشاهده شده از زیرساخت‌های TAG-124 استفاده می‌کنند شامل باج‌افزار Rhysida، باج‌افزار Interlock و TA866 (Asylum Ambuscade) هستند. طبق گزارش آوریل 2025، این فعالیت همچنین به SocGholish و D3F@ck Loader مرتبط بوده است.

از فروشگاه وب کروم تا سازش

در زنجیره آلودگی مستند شده، قربانیان به صورت آنلاین به دنبال یک مسدودکننده تبلیغات می‌گشتند و با یک تبلیغ مخرب مواجه می‌شدند که آنها را به یک افزونه مرورگر که مستقیماً در فروشگاه وب رسمی کروم میزبانی می‌شد، هدایت می‌کرد.

این افزونه با نام «NexShield – Advanced Web Guardian» (شناسه: cpcdkmjddocikjdkbbeiaafnpdbdafmi) خود را به عنوان یک «سپر حریم خصوصی نهایی» معرفی کرد و ادعا کرد که تبلیغات، ردیاب‌ها، بدافزارها و محتوای وب مزاحم را مسدود می‌کند. قبل از حذف، حداقل ۵۰۰۰ دانلود داشت.

از نظر فنی، این افزونه تقریباً یک کپی مشابه از یک افزونه‌ی مسدودکننده‌ی تبلیغات قانونی بود. با این حال، در زیر رابط کاربری آشنا، طوری طراحی شده بود که یک هشدار امنیتی ساختگی مبنی بر «متوقف شدن غیرعادی مرورگر» را نمایش دهد و کاربران را وادار به شروع یک اسکن جعلی کند که ظاهراً به مایکروسافت اج مرتبط بود.

مهندسی یک تصادف برای ایجاد اعتماد

اگر کاربر برای اجرای اسکن کلیک می‌کرد، افزونه دستورالعمل‌هایی را برای باز کردن پنجره‌ی Run ویندوز و اجرای دستوری که قبلاً در کلیپ‌بورد کپی شده بود، نمایش می‌داد. به محض این که این اتفاق می‌افتاد، افزونه عمداً یک روال انکار سرویس را اجرا می‌کرد که از طریق یک حلقه‌ی بی‌نهایت، اتصالات پورت زمان اجرا بی‌پایانی ایجاد می‌کرد و همین مرحله را تا یک میلیارد بار تکرار می‌کرد.

این فرسودگی منابع باعث مصرف شدید حافظه، کند شدن، عدم پاسخگویی و در نهایت از کار افتادن مرورگر شد. این ناپایداری عمدی یک عارضه جانبی نبود، بلکه محرک مهندسی اجتماعی بود.

پس از نصب، این افزونه یک شناسه منحصر به فرد را به سرور تحت کنترل مهاجم در nexsnield[.]com ارسال می‌کرد و ردیابی قربانی را ممکن می‌ساخت. فعالیت مخرب پس از نصب به مدت ۶۰ دقیقه به تأخیر می‌افتاد و پس از آن هر ۱۰ دقیقه دوباره اجرا می‌شد.

قبل از اجرای روال DoS، این افزونه یک مهر زمانی را در حافظه محلی ذخیره می‌کرد. هنگامی که کاربر مرورگر را به اجبار ترک و مجدداً راه‌اندازی می‌کرد، یک کنترل‌کننده راه‌اندازی، این مقدار را بررسی می‌کرد. در صورت وجود، پنجره CrashFix ظاهر می‌شد و سپس مهر زمانی را حذف می‌کرد و این توهم را ایجاد می‌کرد که هشدار، نتیجه خرابی است نه علت آن.

روال DoS فقط زمانی اجرا می‌شد که سه شرط برقرار باشد: UUID قربانی وجود داشته باشد، سرور فرمان و کنترل با موفقیت پاسخ داده باشد، و پنجره بازشو حداقل یک بار باز و بسته شده باشد. این منطق قویاً نشان می‌دهد که اپراتورها می‌خواستند قبل از فعال کردن کامل حلقه‌ی بار داده، تعامل کاربر را تأیید کنند.

نتیجه یک چرخه خودپایدار بود. هر بار که پس از توقف سیستم، مجبور به راه‌اندازی مجدد می‌شدیم، هشدار جعلی دوباره فعال می‌شد. اگر افزونه نصب شده باقی می‌ماند، رفتار خرابی پس از ده دقیقه از سر گرفته می‌شد.

مبهم‌سازی، ضدتحلیل و زندگی خارج از زمین

این پنجره‌ی پاپ‌آپ جعلی چندین اقدام ضدتحلیلی را اجرا می‌کرد، از جمله غیرفعال کردن منوی زمینه‌ی کلیک راست و مسدود کردن میانبرهای صفحه‌کلید که معمولاً برای دسترسی به ابزارهای توسعه‌دهنده استفاده می‌شوند.

دستور CrashFix از ابزار قانونی ویندوز finger.exe برای بازیابی و اجرای یک payload مرحله ثانویه از 199.217.98[.]108 سوءاستفاده کرد. استفاده KongTuke از ابزار Finger قبلاً در دسامبر 2025 مستند شده بود.

بار داده‌ی دانلود شده یک دستور PowerShell بود که یک اسکریپت اضافی را دریافت می‌کرد و محتوای خود را از طریق لایه‌های متعدد کدگذاری Base64 و عملیات XOR پنهان می‌کرد، که تکرار تکنیک‌هایی است که مدت‌ها با کمپین‌های SocGholish مرتبط بوده‌اند.

پس از رمزگشایی، اسکریپت فرآیندهای فعال را برای بیش از ۵۰ ابزار تجزیه و تحلیل شناخته شده و شاخص‌های ماشین مجازی اسکن کرد و در صورت یافتن هرگونه موردی، فوراً خاتمه داد. همچنین ارزیابی کرد که آیا سیستم به دامنه متصل است یا بخشی از یک گروه کاری مستقل است، سپس یک درخواست HTTP POST به همان سرور ارسال کرد که شامل موارد زیر بود:

  • فهرستی از آنتی ویروس‌های نصب شده
  • پرچم طبقه‌بندی میزبان: 'ABCD111' برای سیستم‌های مستقل و 'BCDA222' برای دستگاه‌های متصل به دامنه

ModeloRAT: مناسب برای محیط‌های سازمانی

اگر سیستم آلوده به عنوان سیستم متصل به دامنه شناسایی می‌شد، زنجیره آلودگی به استقرار ModeloRAT، یک تروجان دسترسی از راه دور ویندوز مبتنی بر پایتون، منجر می‌شد. این بدافزار از طریق کانال‌های رمزگذاری شده RC4 با سرورهای فرمان و کنترل در آدرس‌های 170.168.103[.]208 یا 158.247.252[.]178 ارتباط برقرار می‌کند.

ModeloRAT از طریق رجیستری ویندوز ماندگار می‌شود و از اجرای فایل‌های باینری، DLLها، اسکریپت‌های پایتون و دستورات PowerShell پشتیبانی می‌کند. همچنین شامل کنترل‌های چرخه عمر داخلی است که به اپراتورها اجازه می‌دهد تا از راه دور، ایمپلنت را به‌روزرسانی کنند یا با استفاده از دستورات اختصاصی، آن را خاتمه دهند.

این RAT یک استراتژی چندلایه برای ارسال سیگنال‌های هشدار پیاده‌سازی می‌کند که برای جلوگیری از شناسایی رفتاری طراحی شده است:

  • در شرایط عادی، هر ۳۰۰ ثانیه یک بار چشمک می‌زند.
  • وقتی سرور آن را به حالت فعال تغییر می‌دهد، به طور تهاجمی در یک بازه زمانی قابل تنظیم، که به طور پیش‌فرض ۱۵۰ میلی‌ثانیه است، نظرسنجی می‌کند.
  • پس از شش بار قطع شدن ارتباط متوالی، به فواصل ۹۰۰ ثانیه‌ای برمی‌گردد.
  • پس از یک بار خرابی، پس از ۱۵۰ ثانیه دوباره تلاش می‌کند تا وصل شود و سپس به زمان‌بندی استاندارد برمی‌گردد.

این منطق تطبیقی به ModeloRAT اجازه می‌دهد تا در ترافیک شبکه ادغام شود و در عین حال در صورت لزوم از تعامل سریع اپراتور پشتیبانی کند.

یک استراتژی عفونت دو طرفه

در حالی که استقرار ModeloRAT در سیستم‌های متصل به دامنه، قویاً نشان‌دهنده تمرکز بر محیط‌های سازمانی و نفوذ عمیق‌تر به شبکه است، ماشین‌های مستقل از طریق یک توالی چند مرحله‌ای متفاوت مسیریابی شدند. در این موارد، سرور فرمان و کنترل در نهایت با پیام «TEST PAYLOAD!!!!» پاسخ داد، که نشان می‌دهد این مسیر آلودگی موازی ممکن است هنوز در دست توسعه باشد.

تصویر بزرگتر: مهندسی اجتماعی از طریق طراحی

کمپین CrashFix از KongTuke نشان می‌دهد که چگونه عاملان تهدید مدرن، مهندسی اجتماعی را به یک حلقه کنترل کاملاً مهندسی‌شده تبدیل می‌کنند. مهاجمان با جعل هویت یک پروژه متن‌باز مورد اعتماد، بی‌ثبات کردن عمدی مرورگر و سپس ارائه یک راه‌حل جعلی، ناامیدی کاربر را به انطباق با قوانین تبدیل کردند.

این عملیات نشان می‌دهد که چگونه افزونه‌های مرورگر، بازارهای معتبر و ابزارهای معیشتی می‌توانند در یک زنجیره آلودگی انعطاف‌پذیر ادغام شوند، زنجیره‌ای که نه تنها از طریق مخفی‌کاری، بلکه با دستکاری مکرر قربانی برای تحریک خود حمله، ادامه می‌یابد.

پرطرفدار

کلاهبرداری ایمیلیِ رهگیری‌شده از طریق انتقال وجه

فیشینگ, هرزنامه
هوشیاری در مواجهه با ایمیل‌های ناخواسته یا غیرمنتظره ضروری است. مجرمان سایبری اغلب از غافلگیری، فوریت و کنجکاوی برای فریب دادن گیرندگان و وادار کردن آنها به تصمیم‌گیری‌های عجولانه سوءاستفاده می‌کنند. پیام‌هایی که وعده مبالغ هنگفتی پول می‌دهند یا ادعا می‌کنند که شامل «انتقال وجه رهگیری‌شده» هستند، به‌ویژه خطرناک هستند و باید همیشه با شک و تردید با آنها برخورد کرد. کلاهبرداری ایمیلی «انتقال وجه...

Securesearchtech.net

وب سایت های سرکش, ربایندگان مرورگر, برنامه های بالقوه ناخواسته
محافظت از رایانه‌ها و دستگاه‌های تلفن همراه در برابر PUPهای (برنامه‌های بالقوه ناخواسته) مزاحم و غیرقابل اعتماد برای ایمنی دیجیتال ضروری است. این برنامه‌ها اغلب به روش‌های فریبنده‌ای عمل می‌کنند،...

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
28,759
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...