جستجو
این کادر جستجو را ببندید.
پایگاه دانش

هایجک پلاگین Notepad++ برای تزریق کد مخرب

هکر‌ها یک پلاگین محبوب Notepad++ را دستکاری کرده و کد مخربی را تزریق کرده‌اند که پس از اجرا، سیستم‌های کاربران را به خطر می‌اندازد. ‌ محققان مرکز اطلاعات امنیتی AhnLab (ASEC) فاش کردند که پلاگین “mimeTools.dll” که به طور گسترده مورد استفاده است، برای انجام این حمله تغییر یافته است. ‌ ادیتور Notepad++، یک ویرایشگر متن و کد منبع مورد علاقه برنامه نویسان و نویسندگان به دلیل تطبیق‌پذیری و پشتیبانی از افزونه، به شکلی ناخواسته، تبدیل به ابزاری و وسیله‌ای برای مجرمان سایبری شده است. ‌ پکیج مخرب و پکیج قانونی پلاگین تغییر یافته “mimeTools.dll” که جز پیش‌فرض Notepad++ است، در حالی کشف شد که تحت عنوان و قالب یک پکیج قانونی ظاهر می‌شود و کاربران را برای دانلود و نصب نسخه در معرض خطر فریب می‌دهد. ‌ takian.ir hackers hijacked notepad plugin 2 ‌پلاگین mimeTools که به دلیل عملکرد‌های رمزگذاری مانند Base64 شناخته شده است، هنگام راه اندازی Notepad++ به طور خودکار بارگذاری می‌شود. مهاجمان با استفاده از تکنیکی به نام DLL Hijacking از این عملکرد و الگو سواستفاده کردند. ‌ وقتی Notepad++.exe راه‌اندازی می‌شود، فایل «mimeTools.dll» به‌طور خودکار بارگیری می‌شود و باعث فعال‌سازی کد مخرب تعبیه‌شده، بدون نیاز به هیچ اقدام دیگری از سوی کاربر می‌شود. ‌ takian.ir hackers hijacked notepad plugin 3 ‌مهاجمان به طور هوشمندانه کد مخرب Shell و کدی را برای رمزگشایی و اجرای آن در فایل “mimeTools.dll” اضافه کرده‌اند. ‌ تحقیقات ASEC فایلی به نام “certificate.pem” را در پکیج تغییریافته به‌عنوان محفظه کد پوسته مخرب نشان داد. ‌ علیرغم دستکاری صورت گرفته، عملکرد‌های اصلی افزونه دست‌نخورده باقی ماندند و فقط کد DllEntryPoint تغییر کرد. این رویکرد مخفی تضمین می‌کند که فعالیت‌های مخرب از لحظه بارگیری DLL بدون اطلاع کاربر شروع می‌شود. ‌ جریان اجرای کد مخرب با راه‌اندازی Notepad++ و بارگیری بعدی «mimeTools.dll» آغاز می‌شود. ‌ سپس DLL کد پوسته موجود در فایل “certificate.pem” را رمزگشایی و اجرا می‌کند و حمله را آغاز می‌شود. ‌ در گزارش آمده است که: “همانطور که مجرمان سایبری به تکامل تاکتیک‌های خود ادامه می‌دهند، جامعه امنیت سایبری همچنان متعهد به کشف و کاهش چنین تهدیداتی است و از تجربیات دیجیتالی کاربران محافظت می‌کند”.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Set your categories menu in Header builder -> Mobile -> Mobile menu element -> Show/Hide -> Choose menu
سبد خرید

فرم درخواست تست محصولات سازمانی کسپرسکی

خواهشمند است جهت خرید محصولات سازمانی کسپرسکی، فرم زیر را تکمیل و ارسال فرمایید.

فرم درخواست تست محصولات سازمانی پادویش

خواهشمند است جهت خرید محصولات سازمانی پادویش، فرم زیر را تکمیل و ارسال فرمایید.