يستخدم مجرمو الإنترنت إشعارات غوغل كروم المزيفة على مواقع الويب الشرعية التي تم اختراقها لبعض الوقت لخداع المستخدمين لتشغيل نصوص PowerShell النصية الضارة. وقد تم تحديد هذا التكتيك من قبل شركة الأمن Proofpoint، التي حذرت من تزايد شعبيته.
وفقًا لتقارير Proofpoint، يقوم المهاجمون بإصابة مواقع الويب الشرعية عن طريق حقن تعليمات برمجية HTML وJavaScript ضارة فيها. عندما يزور المستخدمون هذه المواقع المخترقة، يتم تقديم إشعار مزيف لهم يبدو أنه قادم من غوغل كروم ، ولكنه في الواقع جزء من موقع الويب المخترق نفسه.
ينبهك هذا الإشعار إلى وجود مشكلة مشتبه بها في عرض موقع الويب ويقترح تثبيت "شهادة جذر" كحل. لتثبيت هذه الشهادة، يرشد الإشعار المستخدمين إلى نسخ رمز ولصقه في PowerShell على الويندوز.
في الواقع، الكود المقدم عبارة عن برنامج PowerShell برمجي ضار يقوم، بمجرد تنفيذه، بتثبيت أنواع مختلفة من البرامج الضارة على نظام الضحية، بما في ذلك برامج سرقة المعلومات... التي يمكنها سرقة كلمات المرور وبيانات اعتماد تسجيل الدخول والبيانات الحساسة الأخرى وإرسالها إلى المهاجمين.
بالإضافة إلى سرقة المعلومات، يمكن للبرامج الضارة أيضًا تغيير عناوين محفظة العملات المشفرة في حافظة المستخدم. وهذا يعني أنه عندما يحاول مستخدم إجراء معاملة عملة مشفرة، يمكن استبدال عنوان المستلم بعنوان المهاجم، وبالتالي تحويل الأموال.
يعد اكتشاف هذه التهديدات أمرًا صعبًا بشكل خاص نظرًا للطريقة التي يتم بها تنفيذ البرامج النصية الضارة: حيث يؤدي استخدام الحافظة والإدخال اليدوي للكود إلى الجهاز من قبل المستخدم إلى تعقيد مهمة برنامج مكافحة الفيروسات.
ليست هناك تعليقات:
إرسال تعليق