پایگاه دانش
هایجک پلاگین Notepad++ برای تزریق کد مخرب
هکرها یک پلاگین محبوب Notepad++ را دستکاری کرده و کد مخربی را تزریق کردهاند که پس از اجرا، سیستمهای کاربران را به خطر میاندازد.
محققان مرکز اطلاعات امنیتی AhnLab (ASEC) فاش کردند که پلاگین “mimeTools.dll” که به طور گسترده مورد استفاده است، برای انجام این حمله تغییر یافته است.
ادیتور Notepad++، یک ویرایشگر متن و کد منبع مورد علاقه برنامه نویسان و نویسندگان به دلیل تطبیقپذیری و پشتیبانی از افزونه، به شکلی ناخواسته، تبدیل به ابزاری و وسیلهای برای مجرمان سایبری شده است.
پکیج مخرب و پکیج قانونی
پلاگین تغییر یافته “mimeTools.dll” که جز پیشفرض Notepad++ است، در حالی کشف شد که تحت عنوان و قالب یک پکیج قانونی ظاهر میشود و کاربران را برای دانلود و نصب نسخه در معرض خطر فریب میدهد.
پلاگین mimeTools که به دلیل عملکردهای رمزگذاری مانند Base64 شناخته شده است، هنگام راه اندازی Notepad++ به طور خودکار بارگذاری میشود. مهاجمان با استفاده از تکنیکی به نام DLL Hijacking از این عملکرد و الگو سواستفاده کردند.
وقتی Notepad++.exe راهاندازی میشود، فایل «mimeTools.dll» بهطور خودکار بارگیری میشود و باعث فعالسازی کد مخرب تعبیهشده، بدون نیاز به هیچ اقدام دیگری از سوی کاربر میشود.
مهاجمان به طور هوشمندانه کد مخرب Shell و کدی را برای رمزگشایی و اجرای آن در فایل “mimeTools.dll” اضافه کردهاند.
تحقیقات ASEC فایلی به نام “certificate.pem” را در پکیج تغییریافته بهعنوان محفظه کد پوسته مخرب نشان داد.
علیرغم دستکاری صورت گرفته، عملکردهای اصلی افزونه دستنخورده باقی ماندند و فقط کد DllEntryPoint تغییر کرد. این رویکرد مخفی تضمین میکند که فعالیتهای مخرب از لحظه بارگیری DLL بدون اطلاع کاربر شروع میشود.
جریان اجرای کد مخرب با راهاندازی Notepad++ و بارگیری بعدی «mimeTools.dll» آغاز میشود.
سپس DLL کد پوسته موجود در فایل “certificate.pem” را رمزگشایی و اجرا میکند و حمله را آغاز میشود.
در گزارش آمده است که: “همانطور که مجرمان سایبری به تکامل تاکتیکهای خود ادامه میدهند، جامعه امنیت سایبری همچنان متعهد به کشف و کاهش چنین تهدیداتی است و از تجربیات دیجیتالی کاربران محافظت میکند”.
موارد اخیر
-
حمله Kerberoasting چیست؟ چگونه از این حملات پیشرفته جلوگیری کنیم؟
-
حمله Credential Stuffing چیست و چقدر خطرناک است؟ چگونه از آن جلوگیری کنیم؟
-
تحلیل بدافزار چیست؟ تفاوت Malware Analysis با آنتیویروس چیست؟
-
مانیتورینگ سرور چیست و چه کاری انجام می دهد؟
-
معرفی و برسی 10 مورد از بهترین ابزارها و برنامه های مانیتورینگ سرور
-
تحلیل ترافیک شبکه (NTA) چیست؟ چرا Network Traffic Analysis برای امنیت شبکه ضروری است؟
-
مانیتورینگ شبکه چیست و چرا حیاتی و ضروری است؟
-
معرفی 10 مورد از بهترین ابزار های مانیتورینگ شبکه
-
شکار تهدید یا Threat Hunting چیست و چگونه به امنیت سایبری بهبود می بخشد؟
-
حمله Pass the Hash چیست؟ چگونه حملات PtH رمز عبور رار دور می زنند؟
برترین ها
-
حمله Kerberoasting چیست؟ چگونه از این حملات پیشرفته جلوگیری کنیم؟
-
حمله Credential Stuffing چیست و چقدر خطرناک است؟ چگونه از آن جلوگیری کنیم؟
-
تحلیل بدافزار چیست؟ تفاوت Malware Analysis با آنتیویروس چیست؟
-
مانیتورینگ سرور چیست و چه کاری انجام می دهد؟
-
معرفی و برسی 10 مورد از بهترین ابزارها و برنامه های مانیتورینگ سرور
اشتراک گذاری این مطلب
دیدگاهتان را بنویسید
نشانی ایمیل شما منتشر نخواهد شد. بخشهای موردنیاز علامتگذاری شدهاند *