روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ اگر از مرورگری غیر از مرورگر پیشفرضِ سیستمعامل استفاده میکنید، به احتمال زیاد از اطلاعات افزونههای آن مطلع هستید و حتی ممکن است از چندتایی را هم استفاده کرده باشید. اگر هر از چندگاهی به این وبلاگ سر میزنید باید این را هم بدانید که برخی از این افزونهها خطرناکند و باید تنها از منابع رسمی نصب گردند. مشکل اینجاست که این افزونههای آلوده میتوانند بیآنکه کاربر خبردار شود نصب شوند.
چطور Razy افزونههای آلوده و مخرب را نصب میکند
اولین مظنون، تروجانِ Razy است که با پلاگینهای خود به مرورگر کرومِ گوگل، فایرفاکسِ موزیلا و Yandex Browser (همه برای نسخهی ویندوزی) اضافه میشود. این بدافزار اساساً اسکن افزونههای نصبشده را از کار انداخته و نمیگذارد مرورگر در صورت لزوم آپدیت شود. سپس افزونههای مخرب و آلودهی خود را نصب میکند: فایرفاکس افزونهی Firefox Protection دریافت میکند، یادنکس هم Yandex Protect را.
حتی اگر اسم افزونهها گولزننده هم باشند دست کم از روی ظاهرشان میشود به مشکوک بودن آنها پی برد. برای همین است که اسکریپت برای گوگل کروم مشخصاً خطرناک است: Razy میتواند روی افزونهی سیستم Chrome Media Router تأثیر بگذارد. این تروجان در فهرست عمومی پلاگینهای مرورگر ظاهر نمیشود و بدون نرمافزار امنیتی تنها به صورت غیرمستقیم قابلشناسایی است.
بعد از آلودگی چه اتفاقی میافتد؟
کل سناریو مصداقی کلاسیک است از حملهی "مردی در مرورگر"[1]. افزونههای آلوده محتوای وبسایت را بنابر علاقهی سازندگان خود تغییر میدهند. در مورد تروجان Razy، دارندگان رمزارز بیشترین واهمه را دارند. این افزونه سایتهای تبادل رمز را مورد هدف قرار داده و آنها را به بنرهایی که پیشنهادات وسوسهانگیز برای خرید یا فروش رمزارز میدهند مزین میکنند. اما کاربرانی که طعمهی این دام میشوند در نهایت جیب مجرمان سایبری را پرپول میکنند نه جیب خودشان را.
از اینها گذشته، این افزونه جستجوهای کاربر را در گوگل یا یاندکس جاسوسی میکند و اگر جستجوی فرد در مورد رمزارزها باشد، در صفحهی نتایج جستجو لینکهایی که به سایتهای فیشینگ هدایت میشوند جاگذاری میکند.
روش دیگر برای بازتوزیعِ سکهها جایگزین کردن تمام آدرسهای کیفپول (یا کدهای QR) روی صفحهی وب با آدرسهای کیفپولهای متعلق به مجرمان سایبری است.
در ادامه همچنین برای کاربران مرورگرهای آلوده بنرهایی تبلیغاتی (برای مثال روی Vkontakte یا یوتیوب) میآید که در آنها پیشنهاداتی رنگولعبدار به چشم میخورد: مثلاً «با کمی سرمایهگذاری در آیندهای نزدیک میلیونر شوید»، «درآمدزایی تنها از طریق جستجوی آنلاین» و غیره. از همه بدتر بنر جعلی روی صفحات ویکیپدیا است که از کاربران تقاضای پشتیبانی از پروژه را دارد.
راههای مقابله با تروجان Razy
تروجان Razy در پوشش نرمافزاری مفید توزیع میشود (از طریق برنامههای آشنا) و شاید هم از طریق سرویسهای میزبان مختلف و رایگانِ فایل بتوانند دانلود شوند؛ بنابراین به منظور مقابله با آن به شما موارد زیر را توصیه میکنیم:
- اپها را تنها از وبسایتها و منابع توسعهدهندهی که به آن اطمینان کامل دارید دانلود کنید.
- به محض متوجه شدن مورد مشکوک روی کامپیوتر خود، دستگاه را اسکن کنید (برای مثال پدیدار شدن ابزارهای بهینهسازِ ناآشنا) که میتواند نشان دهد داشتید فریب یک بدافزار را میخوردید.
- پلاگینهای مرورگر را که یکباره ظهور میکنند چک کرده و هر کدام از آنها که مشکوک است غیرفعال کنید.
[1] Man-in-the-browser
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.
