مراقب لینک‌های جعلی به‌روزرسانی مرورگرها باشید

مهاجمان سایبری با انتشار به‌روزرسانی‌ جعلی برای مرورگرها، اقدام به توزیع بدافزارهایی نظیر BitRAT و Lumma Stealer می‌کنند.

به گزارش افتانا، مهاجمان سایبری با استفاده از به‌روزرسانی‌های جعلی مرورگرها، بدافزارهایی نظیر BitRAT و Lumma Stealer را توزیع می‌کنند. این حملات با هدایت کاربران به وب‌سایت‌های آلوده و دانلود فایل‌های مخرب توسط آن‌ها آغاز می‌شوند. با بازدید قربانیان از یک وب‌سایت آلوده که در آن کدی به زبان جاوااسکریپت قرار داده شده است، کاربران به یک صفحه جعلی به‌روزرسانی مرورگر هدایت می‌شوند که تحت دامنه‌ای مانند "abcde-app[.]cloud" قرار دارد. هدف این حمله فریب کاربران برای دانلود و نصب نرم‌افزارهای مخرب یا انجام اقدامات مخرب دیگر است.

پس از هدایت کاربران به صفحه جعلی به‌روزرسانی مرورگر، در این صفحه یک لینک دانلود قرار داده شده است که به یک فایل ZIP به نام "Update.zip" اشاره دارد. این فایل ZIP در پلتفرم Discord میزبانی می‌شود و به صورت خودکار در دستگاه قربانی دانلود می‌شود. این کار دستگاه قربانی را با بدافزارهای موجود در فایل ZIP آلوده می‌کند. در داخل این فایل ZIP، یک فایل جاوااسکریپت دیگر به نام "Update.js" وجود دارد. این فایل جاوااسکریپت باعث اجرای اسکریپت‌های PowerShell می‌شود. وظیفه این اسکریپت‌ها دانلود payloadهای اضافی از یک سرور راه دور است. این payloadهای اضافی شامل بدافزارهایی مانند BitRAT و Lumma Stealer هستند که به شکل فایل‌های تصویر PNG دریافت می‌شوند تا از شناسایی بدافزارها جلوگیری شود.

علاوه بر دانلود بدافزارهای BitRAT و Lumma Stealer، اسکریپت‌های PowerShell دیگری نیز به این روش دریافت می‌شوند که هدف آن‌ها ایجاد پایداری در سیستم قربانی است. همچنین یک لودر مبتنی بر .NET دریافت می‌شود که با هدف راه‌اندازی بدافزارهای نهایی استفاده می‌شود.

BitRAT یک بدافزار کنترل از راه دور (RAT) با ویژگی‌های پیشرفته است که به مهاجمان امکان جمع‌آوری داده‌ها، استخراج ارزهای دیجیتال، دانلود فایل‌های اجرایی و کنترل سیستم‌های آلوده از راه دور را می‌دهد. Lumma Stealer یک بدافزار سرقت اطلاعات است که قادر است اطلاعاتی را از مرورگرهای وب، کیف‌پول‌های ارز دیجیتال و سایر برنامه‌ها و منابع حساس استخراج کند.

وب‌سایت مخربی که برای این حمله طراحی شده، ادعا می‌کند که «مشکلی در نمایش این صفحه وب پیش آمده» و از بازدیدکننده می‌خواهد تا دسترسی root را برای رفع مشکل فعال کند و سپس کدهای مخرب را در powershell اجرا می‌کند.
کد PowerShell مخرب پس از اجرا، کش DNS سیستم را پاکسازی می‌کند تا مطمئن شود که هیچ ردپای شبکه‌ای باقی نمی‌ماند و ارتباطات جدید با سرورهای مخرب برقرار می‌شود و برای ایجاد نوعی اطمینان یا فریب بیشتر یک پیام به کاربر نمایش می‌دهد. همچنین کدهای اضافی PowerShell را جهت اجرای عملکردهای مخرب بیشتری دانلود می‌کند و بدافزار LummaC2 را برای کنترل از راه دور سیستم آلوده و سرقت اطلاعات حساس نصب می‌کند. بدین ترتیب این کد به طور هوشمندانه‌ای چندین عملیات را جهت جلوگیری از شناسایی و حذف توسط سیستم‌های امنیتی اجرا کرده و دسترسی کامل به سیستم قربانی را برای مهاجمان ممکن می‌سازد.