محققان بدافزاری کشف کرده‌اند که قبلاً نمونه‌ای از آن دیده نشده است. هکرهای کره‌شمالی از این بدافزار برای خواندن و دانلود ایمیل‌های مخفیانه‌ای و پیوست‌های آن از حساب جیمیل و کاربران AOL برای خود استفاده کرده‌اند. Volexity در پستی وبلاگی گزارش داد امنیت این شرکت موفق شده است بدافزار است به نام SHARPEXT کشف کند که از ابزارهای هوشمند برای نصب افزونه روی مرورگرهای اج و کروم استفاده می‌کند.

سرویس‌های ایمیل این افزونه‌ها را نمی‌توان شناسایی کرد و از آن استفاده کرد، کاربر مرورگر را پیش از این با استفاده از روش احراز هویت چندعاملی استفاده کرده است، این امنیتی هیچ نقشی در جلوگیری از ورود به حساب کاربر ایفا نمی‌کند. این افزونه در فروشگاه کروم گوگل و صفحه‌ی افزونه‌های مایکروسافت یا هر منبع دانلود موجود در دسترس دیگری نیست و آن را به امنیت امنیتی در جیمیل و AOL نیاز ندارد.

Volexity می‌گوید این بدافزاز از یک سال قبل استفاده شده و گروهی هکری با عنوان SharpTonge آن را توسعه داده است. این گروه تحت‌حمایت کره‌شمالی قرار دارد و با گروهی مطابقت دارد که آن‌ها را با عنوان کمسوکی دنبال می‌کند. سازمان‌های SHARPEXT در ایالات متحده آمریکا و اروپا و کره‌جنوبی هدف قرار می‌دهند که سلاح‌های هسته‌ای و سایر موضوعاتی که کره‌شمالی آن‌ها را برای امنیت مهم می‌دانند، انجام می‌دهند.

استیون آدایر، Volexity در ایمیلی گفت رئیسه‌ای مخرب SHARPEXT ازطریق روش فیشینگ و مهندسی اجتماعی و با ارسال سندی مخرب روی سیستم هدف نصب می‌شود. پیش‌ازاین شاهد بودیم که عوامل تهدیدکننده کره‌شمالی از نوع فیشینگ انجام می‌دهند که هدف اصلی‌شان وادارکردن قربانی برای نصب افزونه روی مرورگر بود. در واقع مکانیزمی برای سوءاستفاده و سرقت است. این بدافزار فقط روی ویندوز کار می‌کند؛ اما آدایر می‌توانم از آن برای آلوده‌کردن مروگرهای فعال در macOS یا لینوکس استفاده کنم.

بازیابی کروم

نصب افزونه‌ی مرورگر در طول عملیات فیشینگ بدون اینکه کاربر متوجه این موضوع شود، کار آسانی نیست. توسعه‌دهندگان SHARPEXT به تحقیقات مختلف در این زمینه توجه ویژه‌ای نشان می‌دهد که چگونه مکانیزم امنیتی در موتور مرورگر کرومیوم ایجاد می‌کند که در آن کاربر حساسی ایجاد می‌کند که ازطریق بدافزارها می‌شود.

هربار که تغییر قانونی روی این مرورگر اعمال می‌شود، رمزنگاری‌شده از برخی کدها می‌شود که این هش‌ها هنگام راه‌اندازی ازطریق مروگر بررسی می‌شوند و اگر در طی این روند با مشکل مطابقت نداشته باشند، درخواست می‌شود تا بازیابی قبلی انجام شود. بسیاری از مردم برای انجام چنین حفاظتی، ابتدا باید موارد زیر را از کامپیوتر هدف تعیین کنند:

  • یک کپی از فایل منابع.pak از مرورگر که حاوی HMAC در کروم استفاده شده است
  • مقدار S-ID کاربر
  • فایل‌های Preferences و Secure Preferences از سیستم کاربر

SHARPEXT پس از اصلاح فایل‌های Preferences و Secure Preferences (فایل‌های انتخاب کاربر انتخابی)، افزونه‌ها را به‌طور خودکار بارگیری و یک اسکریپت در PowerSell اجرا می‌کند که می‌تواند DevTools را در حالت فعال قرار دهد. این تنظیم به مرورگر اجازه می‌دهد کد و تنظیمات سفارشی‌سازی شده را اجرا کند.

کلیدهای بازیابی

Volexity توضیح می دهد:

اسکریپت در حلقه‌های بی‌انتها اجرا می‌شود و فرآیندهای مرتبط با مرورگر هدف را بررسی می‌کند. اگر هر مرورگر هدفمندی در حالت اجرا یافت شود، این اسکریپت عنوان برگه را برای کلمه کلیدی خاصیت بررسی می‌کند. این کلمه به نسخه SHAREXT به‌عنوان، مثلاً 05101190 یا Tab+ بسته شده و با استفاده از پسوند مخرب، هنگام تغییر وضعیت یک برگه یا بارگیری صفحه فعال می‌شود.

مقاله مرتبط:

کلیدهای ارسالی معادل فشردن کلیدهای CTRL+Shift+J هستند که میانبری برای فعال کردن DevTools هستند. درنهایت، اسکریپت PowerShell با استفاده از API موسوم به ShowWindow و پرچم SW_HIDE، پنجره‌ای DevTools را پنهان می‌کند که به‌تازگی باز می‌شود. در پایان فرآیند، DevTools در تب فعال می‌شود. اما پنجره‌ی آن پنهان باقی خواهد ماند.

علاوه بر این، اسکریپت هم برای مخفی‌کردن هر پنجره دیگری استفاده می‌کند که می‌تواند به خطر هشدار دهد. به‌عنوان مثال، مایکروسافت به‌صورت دوره‌ای پیام هشداری به کاربر نمایش می‌دهد و اگر برنامه‌های افزودنی در حالت توسعه‌دهنده اجرا می‌شوند، اسکریپت به‌طور خودکار بررسی می‌شود آیا پنجره ظاهر می‌شود یا خیر و سپس آن را با استفاده از ShowWindow و پرچم SW_HIDE پنهان می‌کند.

افزونه‌ایرب پس از نصب، می‌تواند درخواست‌های زیر را انجام دهد:

داده های HTTP POST توضیحات
حالت = لیست ایمیل‌هایی که قبلاً از قربانی جمع‌آوری شده‌اند را فهرست کنید تا مطمئن شوید که تکراری آپلود نخواهند شد. این فهرست به‌طورمداوم با اجرای SHARPEXT به‌روز می‌شود.
حالت = دامنه دامنه‌های ایمیلی را فهرست می‌کنند که قبلاً با آن‌ها ارتباط برقرار کرده‌اند. این فهرست با اجرای SHARPEXT به‌روز می‌شود.
حالت = سیاه فهرست سیاهی از فرستندگان ایمیل را جمع آوری می کنند که هنگام جمع آوری ایمیل از قربانی باید نادیده گرفته شود.
mode=newD&d=[data] یک دامنه به فهرست همه دامنه‌ها اضافه می‌شود که قربانی مشاهده شده است.
mode=attach&name=[data]&idx=[data]&بدن=[data] پیوستی جدید در سرور راه دور آپلود کنید.
حالت=جدید&mid=[data]&body=[data] داده‌های جیمیل را در سرور راه‌دور آپلود کنید.
mode=attlist اظهارنظر فهرست پیوستی دریافت کنید تا تبدیل شود.
mode=new_aol&mid=[data]&body=[data] داده های AOL را در سرور راه دور آپلود کنید.

SHARPEXT به هکرها اجازه می‌دهد تا فهرستی از آدرس‌های ایمیل را ایجاد کنند تا نادیده بگیرند و ایمیل‌ها یا پیوست‌هایی را ادامه دهند که قبلاً به سرق رفته‌اند. Volexity خلاصه‌ای از اجزای مختلف SHARPEXT ارائه شده است:

مراحل کار بدافزار SHARPEXT

پس از انتشار پست وبلاگی Volexity، یکی از سخن‌گویان گوگل در ایمیلی اعلام کرد که افزونه‌های مخرب در سرورهای گوگل میزبانی نشده است و پس از حمله موفق فیشینگ یا مهندسی اجتماعی، به‌عنوان بدافزار روی سیستم قربانیان نصب می‌شود. خدمات ضدبدافزار و استفاده از سیستم‌عامل‌های امنیتی ازجمله کروم، بهترین روش‌ها برای جلوگیری از این نوع حملات و حملات مشابه هستند.

پست وبلاگی Volexity تصاویر و نام فایل‌ها و سایر شاخص‌ها را می‌کند که افراد آموزش دیده می‌توانند از آن‌ها برای تعیین این موضوع استفاده کنند که آیا SHARPEXT به سیستم آن‌ها نفوذ کرده یا خیر. شرکت یاد‌شده هشدار می‌دهد که این خطر در طول زمان توسعه یافته است و به‌احتمال زیاد به‌این‌زودی‌ها می‌روند. این شرکت امنیتی گفت:

زمانی که برای اولین بار با SHARPEXT مورد استفاده قرار گیرد، به نظر می‌رسد که در مراحل اولیه توسعه قرار می‌گیرد و دارای اشکالات متعددی است که این موارد از نابالغ‌بودن ابزارهایی را نشان می‌دهد. جدیدترین به‌روزرسانی‌ها را نشان می‌دهد که با این بدافزار به هدف خود دست‌یابی و درنتیجه اصلاح مشکلات آن، ارزشش را داشته است.

اگر دوست داشتی امتیاز دادن یادت نره!