افزونه جعلی کروم قبل از اینکه بدافزار شما را آلوده کند، رایانه شما را خراب می کند – چگونه ایمن بمانید
شما هرگز نمی توانید هنگام بارگیری نرم افزار جدید (خواه یک برنامه یا افزونه مرورگر) روی رایانه خود خیلی مراقب باشید. به عنوان مثال: کاربری که سعی کرد یک مسدودکننده تبلیغات را برای مرورگر خود بارگیری کند، افزونه جعلی را نصب کرد که رایانه او را «فاسد» کرد و بهجای آن یک راه حل حاوی بدافزار ارائه کرد.
همانطور که توسط BleepingComputer گزارش شده است، پسوند مرورگر مورد بحث NexShield نام دارد. اگرچه جعلی است، اما به عنوان یک مسدود کننده تبلیغات با کارایی بالا و سبک تبلیغ می شود که حریم خصوصی را در اولویت قرار می دهد. برای مشروع جلوه دادن این برنامه افزودنی، مجرمان سایبری که آن را ایجاد کردند جعل هویت ریموند هیل، توسعهدهنده اصلی uBlock Origin بودند.
متأسفانه، NexShield علاوه بر مسدود نکردن تبلیغات، رایانه شما را قبل از اینکه به شما کمک کند آن را برای انجام یک حمله جدید به سبک ClickFix تعمیر کند، خراب می کند. در اینجا همه چیزهایی که باید در مورد این افزونه مخرب جدید بدانید، بدافزاری که کاربران ناآگاه را آلوده می کند، و نحوه محافظت از خود در برابر این تاکتیک جدید بسیار موفق که توسط هکرها و سایر مجرمان سایبری استفاده می شود، آمده است.
من مرورگر شما را خراب می کنم تا با یک اصلاح شما را هک کنم
مجرمان سایبری پشت این کمپین تلاش زیادی کردند تا کاربران ناآگاه را فریب دهند. آنها نه تنها یک افزونه جعلی ایجاد کرده اند، بلکه یک صفحه فرود نیز برای این به اصطلاح مسدود کننده تبلیغات ایجاد کرده اند و برای تبلیغ آن تبلیغات مخربی را اجرا می کنند.
طبق یک پست وبلاگی توسط شرکت امنیت سایبری Huntress، افزونه NexShield میتواند با ایجاد چندین اتصال درگاه «chrome.runtime» در یک حلقه بیپایان که حافظه رایانه مورد نظر را مصرف میکند، شرایط انکار سرویس (DoS) را در Google Chrome ایجاد کند. از منظر شما به عنوان کاربر کروم یا Edge، برگههای ثابت، افزایش استفاده از CPU و RAM و یک مرورگر بی پاسخ را میبینید.
هنگامی که Chrome یا Edge خراب می شود و مرورگر خود را مجدداً راه اندازی می کنید، NexShield یک پاپ آپ با یک هشدار جعلی نمایش می دهد و پیشنهاد می کند رایانه شما را برای یافتن مشکل اسکن کند. با کلیک بر روی دکمه “اجرای اسکن” پنجره جدیدی با یک هشدار جعلی دیگر در مورد مشکلات امنیتی شناسایی شده در سیستم شما باز می شود. همچنین دستورالعمل هایی در مورد نحوه رفع مشکل وجود دارد، اما همانطور که انتظار دارید، پیروی از آنها منجر به حمله ای به سبک ClickFix می شود که محققان امنیتی Huntress آن را CrashFix می نامند.
حملات ClickFix در حال حاضر در بین هکرها بسیار محبوب هستند زیرا با کپی و چسباندن دستورات مخرب در خط فرمان ویندوز، اساساً کارهای سنگینی را برای آنها انجام می دهید. دستور مورد بحث در اینجا یک اسکریپت مخفی PowerShell را از طریق یک اتصال راه دور فعال می کند، که سپس یک اسکریپت مخرب را دانلود و اجرا می کند.
اما آنچه که با سایر حملات CickFix متفاوت است این است که فعالیت مخرب تا یک ساعت پس از نصب افزونه NexShield رخ نمی دهد. این به هکرهای پشت این کمپین کمک میکند تا از شناسایی و سردرگمی قربانیان جلوگیری کنند، زیرا اکثر مردم نمیدانند چرا رایانههایشان ناگهان خندهدار میشود.
چگونه از خود در برابر برنامه های افزودنی جعلی و بدافزار محافظت کنیم؟
با این حمله خاص، مجرمان سایبری کاربران تجاری را در مقابل کاربران خانگی معمولی هدف قرار می دهند. هنگامی که شخصی در شبکه شرکتی NexShield را دانلود می کند و “اصلاح” را اعمال می کند، بدافزار ModeloRAT بر روی رایانه او دانلود می شود. اما وقتی یک فرد معمولی این کار را انجام می دهد، این فقط یک “بار تست!!!” است. برخورد می کند. به گفته محققان امنیتی Huntress.
خوشبختانه، گوگل از آن زمان این افزونه NexShield جعلی را از فروشگاه وب کروم حذف کرده است. اگر آن را نصب کرده اید، باید بلافاصله آن را حذف کنید.
حتی اگر رایانه شما به بدافزار از افزونه NexShield آلوده نشده باشد، این باید یک زنگ هشدار باشد. در مثالی که Huntress به اشتراک گذاشته است، قربانی مورد نظر هرگز نباید روی تبلیغی که در مرورگرش باز شده است، در حین جستجوی مسدودکننده تبلیغات کلیک میکرد. سپس، به جای پیروی از دستورالعمل های برنامه افزودنی، باید فوراً آن را حذف کرده و با استفاده از بهترین نرم افزار آنتی ویروس، کامپیوتر خود را اسکن کامل کنند.
درست مانند من و شما، هکرها می توانند فضای تبلیغاتی را در گوگل و سایر موتورهای جستجو خریداری کنند، که به نظر می رسد در اینجا چنین است. بنابراین، من شدیداً توصیه میکنم به جای کلیک کردن روی تبلیغات در مرورگر خود، مستقیماً به خود فروشگاه (در این مورد، فروشگاه وب Chrome) بروید. زیرا ممکن است این تبلیغات مخربی باشند که به نظر قانونی می رسند.
به طور مشابه، زمانی که به دنبال افزونه های جدید مرورگر می گردید، همیشه رتبه بندی آنها را بررسی کنید، نظرات را بخوانید و قبل از دانلود هر چیزی تحقیقات خارجی خود را انجام دهید. مرورگرهای ما همه چیز از ایمیل گرفته تا رسانه های اجتماعی و حتی بانکداری آنلاین را مدیریت می کنند. بنابراین نمی خواهید خطر دسترسی یک برنامه افزودنی مخرب به این داده ها را تهدید کنید. درست مانند برنامه های موجود در تلفن خود، می خواهید تعداد برنامه های افزودنی مرورگر را که نصب می کنید محدود کنید. قبل از دانلود موارد جدید، همیشه از خود بپرسید که آیا واقعاً به آنها نیاز دارید یا خیر.
از این پس، هرگز برای رفع مشکلی که شامل کپی و چسباندن دستورات در خط فرمان است، دستورالعمل ها را دنبال نکنید. این یک پرچم قرمز بزرگ است، و انجام این کار به این معنی است که قربانیان ClickFix بیشماری دستگاههایشان را به بدافزار آلوده میکنند.
حملات ClickFix و CrashFix برای مجرمان سایبری بسیار مؤثر بوده اند، بنابراین من نمی بینم که این تاکتیک به این زودی ها از بین برود. در عوض، این شما هستید که باید تحقیقات خود را انجام دهید و هنگام نصب افزونه های جدید مرورگر دقت بیشتری داشته باشید.
دنبال کردن راهنمای تام برای Google News و ما را به عنوان منبع ترجیحی اضافه کنید برای مشاهده آخرین اخبار، تحلیل ها و بررسی های ما در فیدهای خود.