خبر

  • تک بورد - وب سایت Brave.com جعل هویت با کمک Google ، بدافزارها را تحت فشار قرار می دهد

    وب سایت Brave.com جعل هویت با کمک Google ، بدافزارها را تحت فشار قرار می دهد
    26 روز و 14 ساعت قبل

    با داشتن گواهی معتبر TLS ، faux Bravė.com می تواند حتی افراد دارای امنیت را نیز فریب دهد.
    کلاهبرداران با استفاده از ترفندهای هوشمندانه برای جعل هویت وب سایت برای مرورگر Brave و استفاده از آن در تبلیغات Google برای جلوگیری از بدافزارهای احتمالی دستگیر شده اند. کنترل مرورگرها و سرقت اطلاعات حساس

    این حمله با ثبت دامنه xn-brav-yva [.] com ، یک رشته رمزگذاری شده که از چیزی که به عنوان punycode شناخته می شود برای نشان دادن bravė [.] com استفاده می کند ، نامی که هنگام نمایش در نوار آدرس مرورگرها به طور گیج کننده ای مشابه است به brave.com ، جایی که مردم مرورگر Brave را بارگیری می کنند. Bravė [.] com (به حروف E توجه کنید) تقریباً یک کپی کامل از brave.com بود ، با یک استثناء مهم: دکمه "Download Brave" فایلی را که بدافزارهایی را که هر دو به نام ArechClient و SectopRat شناخته می شوند نصب کرد.

    https://techbord.com وب سایت Brave.com جعل هویت با کمک Google ، بدافزارها را تحت فشار قرار دادم بزرگنمایی جاناتان سامپسون

    از Google به بدافزار در مدت 10 ثانیه

    برای هدایت ترافیک در سایت جعلی ، کلاهبرداران تبلیغاتی را در Google خریداری کردند که هنگام جستجو افراد در مورد موارد مربوط به مرورگرها نمایش داده می شد. تبلیغات به اندازه کافی خوش خیم به نظر می رسید. همانطور که تصاویر زیر نشان می دهد ، دامنه نمایش داده شده برای یک تبلیغ mckelveytees.com بود ، سایتی که پوشاک را برای حرفه ای ها می فروشد.

    https://techbord .com وب سایت Brave.com جعل هویت با کمک Google ، بدافزارها را تحت فشار قرار داد می دهد بزرگنمایی  https://techbord.com وب سایت Brave.com جعل هویت با کمک Google ، بدافزارها را تحت فشار قرار داد می دهد بزرگنمایی جاناتان سامپسون

    اما وقتی مردم روی یکی از تبلیغات کلیک کردند ، آنها را هدایت کرد از طریق چندین دامنه واسطه ای تا اینکه در نهایت در bravė [.] com قرار گرفتند. جاناتان سامپسون ، توسعه دهنده وب که روی Brave کار می کند ، گفت که فایل موجود برای بارگیری در آنجا دارای تصویر ISO با حجم 303 مگابایت است. در داخل آن تنها یک فایل اجرایی وجود داشت. در زمان فعال شدن این پست ، تصویر ISO دارای هشت تشخیص و EXE دارای 16 تشخیص بود. تجزیه و تحلیل سال 2019 از شرکت امنیتی G Data نشان داد که یک تروجان دسترسی از راه دور است که قادر به پخش جریانی دسکتاپ فعلی کاربر یا ایجاد دومین میز کار نامرئی است که مهاجمان می توانند از آن برای مرور اینترنت استفاده کنند.

    در ادامه مطلب بر اساس تجزیه و تحلیل منتشر شده در فوریه ، G Data گفت که این بدافزار به منظور افزودن ویژگی ها و قابلیت های جدید ، از جمله ارتباطات رمزگذاری شده با سرورهای فرمان و کنترل تحت کنترل مهاجم ، به روز شده است. یک تجزیه و تحلیل جداگانه نشان داد که "دارای قابلیت هایی مانند اتصال به سرور C2 ، نمایه سازی سیستم ، سرقت سابقه مرورگر از مرورگرهایی مانند Chrome و Firefox است."

    همانطور که در این جستجوی غیرفعال DNS از DNSDB Scout ، آدرس IP نشان داده شده است. که میزبان سایت جعلی Brave بوده است ، دامنه های مشکوک دیگر شامل xn--ldgr-xvaj.com ، xn--sgnal-m3a.com ، xn--teleram-ncb.com و xn-brav-8va را میزبانی کرده است. com آنهایی که به ترتیب به lędgėr.com ، sīgnal.com teleģram.com و bravę.com ترجمه می شوند. همه دامنه ها از طریق NameCheap ثبت شده اند.

    https://techbord.com وب سایت Brave.com جعل هویت با کمک Google ، بدافزارها را تحت کنترل فشار قرار می دهد بزرگنمایی

    یک حمله قدیمی که هنوز در جریان است مهمترین آن

    مارتین گروتن ، محقق شرکت امنیتی Silent Push ، به این فکر کرد که آیا مهاجم پشت این کلاهبرداری میزبان سایتهای مشابه دیگر در IP های دیگر بوده است. او با استفاده از یک محصول Silent Push ، سایر دامنه های punycode ثبت شده از طریق NameCheap و با استفاده از همان میزبان وب را جستجو کرد. وی به هفت سایت دیگر که مشکوک بودند نیز ضربه زد.

    نتایج ، از جمله رمز و دامنه ترجمه شده ، عبارتند از:

    xn-screncast-ehb.com — screēncast.com xn-flghtsimulator -mdc.com — flīghtsimulator.com. xn-brav-eva.com — bravē.com xn-xodus-hza.com — ēxodus.com xn-tradingvew-8sb.com — tradingvīew.com xn-torbrwser-zxb.com-torbrōwser.com xn- -tlegram-w7a.com — tēlegram.com

    هنگامی که Brave تبلیغات مخرب را متوجه شرکت کرد ، Google آنها را حذف کرد. NameCheap پس از دریافت اعلان دامنه های مخرب را حذف کرد.

    یکی از مواردی که در مورد این حملات بسیار شیطانی است این است که تشخیص آنها چقدر سخت است. از آنجا که مهاجم کنترل کاملی بر روی دامنه punycode دارد ، سایت فریبنده دارای گواهی معتبر TLS خواهد بود. وقتی آن دامنه یک نسخه دقیق از وب سایت جعلی را میزبانی می کند ، حتی افراد آگاه از امنیت نیز می توانند فریب بخورند.

    متأسفانه ، هیچ روش روشنی برای جلوگیری از این تهدیدها وجود ندارد ، مگر اینکه چند ثانیه اضافی را برای بازرسی اختصاص دهید. نشانی اینترنتی همانطور که در نوار آدرس ظاهر می شود. حملات با استفاده از دامنه های مبتنی بر punycode چیز جدیدی نیست. جعل هویت Brave.com این هفته نشان می دهد که آنها به این زودی ها از مد نمی افتند.





خبرهای دیگر از ابزارها