هکرها یک پلاگین محبوب Notepad++ را دستکاری کرده و کد مخربی را تزریق کردهاند که پس از اجرا، سیستمهای کاربران را به خطر میاندازد.
محققان مرکز اطلاعات امنیتی AhnLab (ASEC) فاش کردند که پلاگین “mimeTools.dll” که به طور گسترده مورد استفاده است، برای انجام این حمله تغییر یافته است.
ادیتور Notepad++، یک ویرایشگر متن و کد منبع مورد علاقه برنامه نویسان و نویسندگان به دلیل تطبیقپذیری و پشتیبانی از افزونه، به شکلی ناخواسته، تبدیل به ابزاری و وسیلهای برای مجرمان سایبری شده است.
پکیج مخرب و پکیج قانونی
پلاگین تغییر یافته “mimeTools.dll” که جز پیشفرض Notepad++ است، در حالی کشف شد که تحت عنوان و قالب یک پکیج قانونی ظاهر میشود و کاربران را برای دانلود و نصب نسخه در معرض خطر فریب میدهد.
پلاگین mimeTools که به دلیل عملکردهای رمزگذاری مانند Base64 شناخته شده است، هنگام راه اندازی Notepad++ به طور خودکار بارگذاری میشود. مهاجمان با استفاده از تکنیکی به نام DLL Hijacking از این عملکرد و الگو سواستفاده کردند.
وقتی Notepad++.exe راهاندازی میشود، فایل «mimeTools.dll» بهطور خودکار بارگیری میشود و باعث فعالسازی کد مخرب تعبیهشده، بدون نیاز به هیچ اقدام دیگری از سوی کاربر میشود.
مهاجمان به طور هوشمندانه کد مخرب Shell و کدی را برای رمزگشایی و اجرای آن در فایل “mimeTools.dll” اضافه کردهاند.
تحقیقات ASEC فایلی به نام “certificate.pem” را در پکیج تغییریافته بهعنوان محفظه کد پوسته مخرب نشان داد.
علیرغم دستکاری صورت گرفته، عملکردهای اصلی افزونه دستنخورده باقی ماندند و فقط کد DllEntryPoint تغییر کرد. این رویکرد مخفی تضمین میکند که فعالیتهای مخرب از لحظه بارگیری DLL بدون اطلاع کاربر شروع میشود.
جریان اجرای کد مخرب با راهاندازی Notepad++ و بارگیری بعدی «mimeTools.dll» آغاز میشود.
سپس DLL کد پوسته موجود در فایل “certificate.pem” را رمزگشایی و اجرا میکند و حمله را آغاز میشود.
در گزارش آمده است که: “همانطور که مجرمان سایبری به تکامل تاکتیکهای خود ادامه میدهند، جامعه امنیت سایبری همچنان متعهد به کشف و کاهش چنین تهدیداتی است و از تجربیات دیجیتالی کاربران محافظت میکند”.
پایگاه دانش
هایجک پلاگین Notepad++ برای تزریق کد مخرب
موارد اخیر
-
حمله فیشینگ چیست و چگونه رخ میدهد؟
-
چارچوب امنیتی NIST چیست؟آشنایی با استانداردها و ساختار
-
چک لیست امنیتی سوئیچ و روتر+توصیهها و ترفندها
-
ACL چیست و چگونه شبکه را کنترل و فیلتر میکند؟
-
حمله Brute Force چیست و چه خطری دارد؟
-
حملات DoS و DDoS:تهدیدات سایبری و روشهای مقابله
-
معرفی حمله مرد میانی یا و راه حلهای مقابله با آن
-
مدل امنیتی Zero Trust چیست و چگونه از آن پیروی کنیم؟
-
چک لیست امنیتی بکآپ گیری
-
رمزنگاری چیست و چگونه به دادهها و اطلاعات امنیت میبخشد؟
برترین ها
اشتراک گذاری این مطلب
دیدگاهتان را بنویسید
نشانی ایمیل شما منتشر نخواهد شد. بخشهای موردنیاز علامتگذاری شدهاند *