[ad_1]

وب سایت تقلید شده Brave.com با کمک Google بدافزار را اجرا می کند

کلاهبرداران با استفاده از ترفندهای هوشمندانه برای جعل هویت وب سایت مرورگر Brave و استفاده از آن در تبلیغات Google برای هک بدافزارهایی که کنترل مرورگرها را در دست گرفته و داده های حساس را سرقت می کنند ، استفاده شده اند.

این حمله با ثبت دامنه xn-brav-yva کار می کند[.]com ، یک رشته کد شده که از چیزی که به عنوان punycode شناخته می شود برای نشان دادن bravė استفاده می کند[.]com ، نامی که هنگام نمایش در نوار آدرس مرورگر ، به طور گیج کننده ای شبیه brave.com است ، جایی که مردم مرورگر Brave را بارگیری می کنند. قفل[.]com (توجه به حرف E) یک نسخه تقریبا کامل از brave.com بود ، با یک استثناء قابل توجه: دکمه “Download Brave” فایلی را که بدافزارهایی را که هر دو ArechClient و SectopRat معروف بودند ، نصب کرد.

از Google تا بدافزار در 10 ثانیه

برای جلب بازدیدکنندگان به سایت جعلی ، کلاهبرداران تبلیغاتی را در Google خریداری می کنند که وقتی افراد در جستجوی مواردی که شامل مرورگرها می شود ، ظاهر می شوند. تبلیغات به اندازه کافی خوب به نظر می رسید. همانطور که تصاویر زیر نشان می دهد ، دامنه نمایش داده شده برای تبلیغ mckelveytees.com است ، سایتی که لباس به متخصصان می فروشد.

اما وقتی مردم روی یکی از تبلیغات کلیک کردند ، آنها را از طریق چندین دامنه واسطه هدایت کرد ، تا اینکه سرانجام در bravė قرار گرفتند[.]com جاناتان سامپسون ، توسعه دهنده وب در Brave ، می گوید فایل موجود برای بارگیری دارای تصویر ISO 303 مگابایت است. داخل آن یک فایل اجرایی وجود داشت.

VirusTotal بلافاصله تعداد انگشت شماری از دستگاه های آنتی ویروس را که ISO و EXE را تشخیص می دهند ، نشان داد. در زمان انتشار ، تصویر ISO دارای هشت کشف و EXE 16 بود.

بدافزار شناسایی شده دارای چندین نام از جمله ArechClient و SectopRat است. تجزیه و تحلیل سال 2019 توسط شرکت امنیتی G Data نشان داد که این یک تروجان دسترسی از راه دور است که می تواند دسکتاپ فعلی کاربر را پخش کند یا دومین میز کار نامرئی را ایجاد کند که مهاجمان می توانند از آن برای گشت و گذار در اینترنت استفاده کنند.

در تجزیه و تحلیل بعدی منتشر شده در ماه فوریه ، G Data گفت که این بدافزار به روز شده است تا ویژگی ها و قابلیت های جدیدی از جمله ارتباطات رمزگذاری شده با دستورات و سرورهای کنترل مهاجم را اضافه کند. یک تجزیه و تحلیل جداگانه نشان داد که “دارای ویژگی هایی مانند اتصال به سرور C2 ، مشخصات سیستم ، سرقت سابقه مرورگر از مرورگرهایی مانند Chrome و Firefox” است.

همانطور که در این جستجوی غیرفعال DNS توسط DNSDB Scout نشان داده شده است ، آدرس IP میزبان سایت جعلی Brave میزبان سایر دامنه های مشکوک مشکوک ، از جمله xn--ldgr-xvaj.com ، xn--sgnal-m3a.com ، xn-- teleram- بود ncb.com و xn--brav-8va.com. آنها به ترتیب به lędgėr.com ، sīgnal.com teleģram.com و bravę.com ترجمه شده اند. همه دامنه ها از طریق NameCheap ثبت شده اند.

حمله ای قدیمی که هنوز در جریان است

مارتین گروتن ، محقق در شرکت امنیتی Silent Push ، در فکر این بود که آیا مهاجم پشت کلاهبرداری سایت های مشابه دیگری را در آدرس های IP دیگر میزبانی کرده است؟ با استفاده از یک محصول Silent Push ، به دنبال سایر دامنه های punycode بود که از طریق NameCheap و با استفاده از همان میزبان وب ثبت شده بودند. به هفت سایت دیگر که مشکوک بودند نیز برخورد کرد.

نتایج ، شامل پانکد و دامنه ترجمه شده ، عبارتند از:

  • xn-screncast-ehb.com-scrncast.com
  • xn-flghtsimulator-mdc.com-flīghtsimulator.com.
  • xn-brav-eva.com-bravē.com
  • xn-xodus-hza.com-ēxodus.com
  • xn-tradingvew-8sb.com-tradingvīew.com
  • xn--torbrwser-zxb.com—torbrwser.com
  • xn-tlegram-w7a.com-telegram.com

پس از جلب توجه Brave به شرکت ، گوگل تبلیغات مخرب را حذف کرد. NameCheap پس از دریافت اعلان ، دامنه های مخرب را حذف کرد.

یکی از مواردی که در مورد این حملات بسیار ناخوشایند است تشخیص سخت بودن آنها است. از آنجا که مهاجم کنترل کاملی بر دامنه punycode دارد ، سایت فریبنده دارای گواهی معتبر TLS خواهد بود. وقتی این دامنه یک نسخه دقیق از وب سایت تقلبی را میزبانی می کند ، حتی افرادی که از امنیت آگاه هستند می توانند گمراه شوند.

متأسفانه ، هیچ راه واضحی برای اجتناب از این تهدیدها وجود ندارد ، مگر با صرف چند ثانیه اضافی برای بررسی آدرس URL که در نوار آدرس ظاهر می شود. حملات با استفاده از دامنه های مبتنی بر punycode چیز جدیدی نیست. ارائه Brave.com در این هفته نشان می دهد که آنها به زودی از مد نمی افتند.

[ad_2]

منبع: tarjome-news.ir