خانه » استفاده از خطاهای جعلی Google Chrome برای اجرای اسکریپت‌ های PowerShell

استفاده از خطاهای جعلی Google Chrome برای اجرای اسکریپت‌ های PowerShell

توسط Vulnerbyte
144 بازدید
خطاهای جعلی Google Chrome - اسکریپت های مخرب PowerShell

محققان Proofpoint، حملات جدیدی را شناسایی کرده‌اند که از خطاهای جعلی Google Chrome و همچنین  Word و OneDrive به منظور توزیع بدافزار استفاده می‌کنند. مهاجمان سایبری در این حملات با به کارگیری تکینیک‌های مهندسی اجتماعی، کاربران را توسط این پیام‌های خطا فریب می‌دهند تا اسکریپت‌های مخرب PowerShell حاوی بدافزار را دریافت کنند.

این پیغام‌ها از بازدیدکننده می‌خواهند تا به منظور برطرف نمودن خطا بر روی دکمه‌ای کلیک کند و یک قطعه کد PowerShell را کپی کرده و آن را در قسمت Run ویندوز، پیست و اجرا کند.

اگرچه این زنجیره حمله برای موفقیت نیاز به تعامل قابل توجهی با کاربر دارد، اما تکنیک مهندسی اجتماعی به کار گرفته شده نیز به اندازه کافی هوشمندانه می‌باشد و به گونه‌ای طراحی شده است که به طور همزمان هم مشکل و هم راه حل را به کاربر ارائه می‌دهد.

پیلودهای بدافزاری که توسط Proofpoint در این حملات مشاهده شدند شامل DarkGate، Matanbuchus، NetSupport، XMRig، لودر Amadey، رباینده کلیپ بورد و Lumma می‌باشند.

تحلیلگران Proofpoint سه زنجیره حمله ClearFake، ClickFix و TA571 را مشاهده کردند که عمدتاً در مراحل اولیه حمله خود متمایز می‌باشند. ما در ادامه مقاله به بررسی هر سه زنجیره حمله خواهیم پرداخت.

 

زنجیره حمله ClearFake

اولین زنجیره حمله با متخصصانی که در پشت  فریمورک جاوا اسکریپت ClearFake قرار دارند، مرتبط می‌باشد. حمله به گونه‌ای طراحی شده است که وب‌ سایت پس از بازدید کاربر، یک اسکریپت مخرب میزبانی شده بر روی بلاکچین را از طریق قراردادهای زنجیره هوشمند Binance بارگیری می‌کند. تکنیکی که به عنوان «EtherHiding» شناخته می‌شود.

این اسکریپت، برخی بررسی‌ها را انجام می‌دهد و پس از آن یک هشدار جعلی Google Chrome را با مضمون اینکه مشکلی در نمایش صفحهء وب وجود دارد، نشان خواهد داد. اسکریپت سپس توسط یک باکس گفتگو از بازدید کننده درخواست می‌کند تا با کپی کردن یک اسکریپت PowerShell در کلیپ بورد ویندوز و اجرای آن در کنسول Windows PowerShell (Admin)، یک ” root certificate ” را نصب کند.

ClearFake- خطاهای جعلی Google Chrome - اسکریپت های مخرب PowerShell
شکل ۱- خطای جعلی گوگل کروم

هنگامی که اسکریپت PowerShell اجرا می‌شود، مراحل مختلفی را برای تأیید اینکه دستگاه قربانی، یک هدف معتبر می‌باشد یا خیر، طی کرده و سپس پیلودهای بیشتری را دانلود می‌کند. پیلودهایی برای:

  • پاک کردن کش DNS
  • حذف محتوای کلیپ بورد
  • نمایش یک پیام فریبنده
  • دانلود یک اسکریپت PowerShell دیگر که پیش از دانلود یک بدافزار رباینده اطلاعات، بررسی‌های آنتی VM را انجام می‌دهد.
زنجیره حمله ClearFake
شکل ۲- زنجیره حمله ClearFake

زنجیره حمله ClickFix

زنجیره حمله دوم با ” ClickFix” مرتبط می‌باشد و از تزریقی در وب‌ سایت‌های تحت کنترل مهاجم استفاده می‌کند. این دسته حملات، یک iframe ایجاد می‌کنند تا یک خطای جعلی Google Chrome را پوشش دهند.

پیغام خطا از قربانی درخواست می‌کند که “Windows PowerShell (Admin)” را باز کرده و کد ارائه شده را جایگذاری کند. این کار، مانند حمله قبل، منجر به دانلود و اجرای یک اسکریپت PowerShell دیگر می‌شود که در نهایت به نصب بدافزار رباینده Vidar منتهی می‌گردد.

ClickFix - خطاهای جعلی Google Chrome - اسکریپت های مخرب PowerShell
شکل ۳- پیغام خطای ClickFix در ۱۱ مه ۲۰۲۴
ClickFix- محتوای سفارشی iframe در 11 مه 2024
شکل ۴- محتوای سفارشی iframe در ۱۱ مه ۲۰۲۴
ClickFix - محتوای iframe در ۷ ژوئن 2024
شکل ۵- محتوای iframe در ۷ ژوئن ۲۰۲۴

 

زنجیره حمله TA571

محققان Proofpoint اولین بار این تکنیک (خطاهای جعلی Google Chrome برای اجرای اسکریپت های مخرب PowerShell) را در حملاتی در یکم مارس 2024 مشاهده کردند که توسط TA571 استفاده شده بود. این دسته حملات شامل بیش از ۱۰۰,۰۰۰ پیام می‌باشند که هزاران سازمان را در سراسر جهان مورد هدف قرار دادند.

TA571 - خطاهای جعلی Google Chrome - اسکریپت های مخرب PowerShell
شکل ۶– ایمیل فریبنده TA571

ایمیل‌های این حمله، حاوی یک پیوست HTML  می‌باشند که صفحه‌ای مشابه Word مایکروسافت را نمایش می‌دهند. این صفحه، یک پیغام خطا را نشان داده و از کاربر می‌خواهد تا افزونه ” Word Online” را به منظور مشاهده سند نصب کند.

این پیغام خطا، گزینه‌های ” How to fix ” و ” Auto-fix ” را ارائه می‌دهد. گزینه ” How to fix “، یک فرمان PowerShell به فرمت base64 را در کلیپ ‌بورد کپی می‌کند و به کاربر دستور می‌دهد آن را در PowerShell جای‌گذاری کند. گزینه ” Auto-fix ” نیز از پروتکل search-ms برای نمایش فایل ” fix.msi” یا ” fix.vbs” استفاده می‌کند.

TA571 - خطای جعلی Microsoft Word - بدافزار - خطاهای جعلی Google Chrome - اسکریپت های مخرب PowerShell
شکل ۷- خطای جعلی Microsoft Word که منجر به دانلود و نصب بدافزار می‌شود

دستورات PowerShell در این مورد، یک فایل MSI و یا یک اسکریپت VBS را دانلود و اجرا می‌کنند که به ترتیب منجر به دانلود و نصب بدافزارهای Matanbuchus یا DarkGate می‌شوند.

مهاجمان در تمامی موارد، از عدم آگاهی اهداف خود در مورد خطرات اجرای دستورات PowerShell در سیستم سوء استفاده کرده‌اند. آنها همچنین از ضعف و عدم توانایی ویندوز در شناسایی و مسدود کردن اقدامات مخرب ناشی از کد پیست شده بهره بردند.

زنجیره‌های حمله مختلف، نشان می‌دهند که TA571 به طور فعال در حال آزمایش چندین روش برای بهبود اثربخشی و یافتن مسیرهای نفوذ بیشتر برای به خطر انداختن تعداد بیشتری از سیستم‌ها است.

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید