انتشار بهروزرسانی جعلی مرورگر گوگلکروم و استقرار یک بدافزار جدید
هنگامی که این آلودگی اتفاق میافتد، قربانی پیامی دریافت میکند که در آن دستورالعملهای چگونگی پرداخت باج(معمولا در بیتکوینها) ارائه شده است. فرآیند اخاذی اغلب شامل محدودیت زمانی برای پرداخت میشود و پرداخت جریمه هم باید کلید رمزگشایی را به قربانی بدهد، اما هیچ تضمینی وجود ندارد که این اتفاق بیفتد. دو نوع باجافزار رایج وجود دارد؛ باجافزار رمزگذاری که شامل الگوریتمهای رمزنگاری پیشرفته است. این برنامه برای مسدود کردن فایلهای سیستم و تقاضای باج است و برای دسترسی قربانی به آنها، کلیدی وجود دارد که میتواند محتوای مسدود شده را رمزگشایی کند.
باجافزارها دارای برخی ویژگیهای کلیدی هستند که آن را از دیگر نرمافزارهای مخرب مجزا میکند و رمزگذاری غیرقابل شکست از جمله ویژگیهای آن است به این معنی که نمیتوانید فایلها را خودتان رمزگشایی کنید، اما باجافزار میتواند انواع فایلها، از اسناد تا تصاویر، فایلهای صوتی و سایر مواردی که ممکن است روی رایانه باشد، رمزگذاری کند. در همین رابطه محققان امنیتی درباره کمپین جدید بهروزرسانی مرورگر کروم جعلی هشدار دادند که بدافزار جدیدی به نام FakeUpdateR برای فریب کاربران و دانلود یک تروجان دسترسی از راه دور استفاده میکند. این کمپین پس از اینکه بدافزار قبلا وبسایتهای متعددی را تحت تاثیر قرار داده بود، آشکار شد که بعدا توسط Google نیز مورد توجه قرار گرفت. به گفته محققان Sucuri، این بدافزار هم بر سایتهای وردپرس و هم بر پلتفرمهای CMS تاثیر میگذارد به این صورت که بدافزار فایل اصلی index.php را بازنویسی میکند تا محتوای وبسایت را با یک پوشش مخرب جایگزین کند؛ در برخی موارد، بدافزار در فایلهای index.html تحت پوشه wp-content تزریق شده است.
همچنین برخی از این وبسایتهای آلوده حاوی کد جاوا اسکریپت بودند که برای ارتباط با کانال تلگرام استفاده میشود و مهاجمان از تلگرام جهت مدیریت اعلانها، استفاده خواهند کرد. اخیرا، محققان Sekioa کمپین مشابهی را مشاهده کردند که از بدافزار جدید ClearFake استفاده کرده است. راهکارها و روشهای مورد استفاده در کمپین مشابه کمپینهای SocGholish و FakeSG بود که عمدتا حول محور استفاده از روشهای مهندسی اجتماعی و فریب کاربران برای نصب بهروزرسانیهای جعلی مرورگر وب بود. بررسیها نشان میدهد که حمله اخیر مبتنی بر فریب کاربران جهت دانلود نسخههای جعلی و آلوده مرورگر کروم شرکت گوگل بوده است، اما با توجه به سوابق پیشین آن، امکان آلوده بودن ابزارهای مشابه نیز وجود دارد. ظهور یک بدافزار جدید جعلی بهروزرسانی Google Chrome یادآور این است که ارتقای مرورگرها با استفاده از رویههای استاندارد از اهمیت بالایی برخوردار است، بنابراین کارشناسان مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای(ماهر) به کاربران توصیه میکنند که بهطور مرتب بر افزونهها و تمهای مورد استفاده در سایتهای خود نظارت کنند؛ همچنین پشتیبانگیری منظم از وبسایتها و پیادهسازی صحیح پیکربندیهای فایروال جهت جلوگیری از حملات بدافزارهایی مانند FakeUpdateRU بسیار مهم است.