תוקפים נעזרו בגוגל כדי שתורידו ”דפדפן Brave” נגוע

התוקפים רכשו שם דומיין שנראה דומה מאוד לזה של הדפדפן Brave, ועל הדרך השתמשו במערכת הפרסום של גוגל כדי להשיג טראפיק

מקור: Brave

זה לא קל לגרום לאנשים להתקין על דעת עצמם תוכנה זדונית על המחשב שלהם, ולכן האקרים ושאר צדיקים צריכים להיות יצירתיים. אז איך עושים את זה? דרך אחת, כך מתברר היא להתחזות לדפדפן מבוסס הפרטיות Brave.

זו לא ה-E שאתם מחפשים

גורמים זדוניים החליטו לנסות את מזלם בהדבקה של אנשים בנוזקה המוכרת בשם ArechClient (או SectopRat), המתפקדת כסוס טרויאני, המאפשר לתוקפים גישה לכמה וכמה פרטים מאוד שימושיים. כדי לעשות זאת הם רכשו את הדומיין xn--brav-yva[.]com, שתרגום שלו מ-Punycode יציג אותו בתור bravė[.]com.

לעין הלא מקצועית, או לפחות עינם של מי שלא חושדים בכל לינק שעליו הם לוחצים, קל מאוד לפספס את העובדה שה-e בשם הדפדפן היא לא האות שאנחנו מכירים מאנגלית, אלא ė. הדומיין שרכשו הגורמים הזדוניים שלח את המשתמשים התמימים לאתר שנראה זהה לחלוטין לזה של האתר המקורי של ברייב, כשהוא מכיל גם – כמובן – כפתור הורדה ל”התקנת הדפדפן”. בפועל, מדובר בקובץ ISO (ובתוכו קובץ exe) במשקל 303 מגה-בייט המכיל בתוכו את הסוס הטרויאני.

מאמצי שיווק

אבל, כמו שיגיד לכם כל סמנכ”ל שיווק של סטארטאפ, החלק המאתגר הוא להגיע למשתמשים. אז “היזמים” החרוצים, שהחזיקו כבר באתר בעל שם לגטימי לחלוטין ותעודת TSL תקינה לגמרי, פשוט רכשו פרסומות דרך פלטפורמת הפרסום של גוגל.

הם דאגו להציף את הפרסומות לאתר שלהם כשאנשים חיפשו את שם הדפדפן, או דפדפנים בכלליות – ואלו נראו בסך הכל תקינות לחלוטין. החשדנים יותר שביניכם היו שמים לב שהלינק בפרסומת עצמה לא היה לאתר הזדוני אלא לאתר שמוכר בגדי עבודה בארה”ב – אבל הכיתוב עצמו התייחס לאתר שמאפשר לכם להוריד דפדפן מאובטח, לכאורה.

ArechClient, הסוס הטרויאני שהאנשים שמאחורי האתר הזדוני ניסו להתקין לגולשים תמימים על המחשב, צץ לראשונה ב-2019 והוא מאפשר להאקרים גישה מרחוק למחשב הנגוע. מהניתוח הראשוני שלו, איפשר הסוס הטרויאני להאקרים לשלוט בשולחן העבודה של המחשב הנגוע או ליצור לעצמם עותק של אותו שולחן עבודה, ודרכו לגלוש באינטרנט במחשב שהודבק.

בניתוח מחודש של הנוזקה התגלה כי היא מאפשרת לתוקפים ליצור תקשורת מוצפנת בין המחשב שלהם למחשב הנגוע, גניבת כל היסטורית הגלישה מדפדפני המחשב הנגוע (ספציפית כרום ופיירפוקס) ושליחת “פרופיל” של המחשב, הכולל את שם מערכת ההפעלה שלו והגרסה שלה, גרסת המעבד שלו ומספר הליבות שהוא כלל, שם הכרטיס הגרפי שעל המחשב וגודל ה-VRAM שלו, גודל הזיכרון של המחשב וה-MAC Address שלו.

ונראה שמי שעומדים מאחורי המתחזה ל-Brave לא מתכננים לעצור שם, על פי ArsTechnica מכתובת ה-IP שרכשה את הדומיין המתחכם נרכשו עוד כמה דומיינים דומים המבוססים על Punycode – הכוללים בין השאר את טלגרם, סיגנל, ledger.com, אתר דפדפן Tor ועוד.

פנקו את הטלגרם שלכם עם ערוץ הטכנולוגיה הגדול בארץ פנקו את הטלגרם שלכם עם ערוץ הטכנולוגיה הגדול בארץ הצטרפו לערוץ גיקטיים בטלגרם

אושרי אלקסלסי

Your Friendly Neighborhood Geek. יש לכם סיפור טכנולוגי? דברו איתי: Oshry@geektime.co.il

הגב

7 תגובות על "תוקפים נעזרו בגוגל כדי שתורידו ”דפדפן Brave” נגוע"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
וואט
Guest

למי בגוגל אפשר להתלונן על זה?

נתקלתי באתר דומה שמתחזה לשירות מייל פופלארי

דניאל
Guest

לדיווח של כל מיני פישינגים כאלה ואחרים , תהיו יהודים טובים

https://safebrowsing.google.com/safebrowsing/report_phish/?hl=en

לוקח שניה בדיוק. מניסיון אישי של עשרות חיקויים שעוברים במייל וואלה (כולל אחד מדויק ברמות גבוהות של דואר ישראל שדורש לשלם מכס , שמוביל לאתר clone שכמעט כולו פונקציונאלי)

חסן
Guest

האמת אני חושש ללחוץ על הקישור שלך עכשיו

שם קצר כלשהוא
Guest

אתה מגיע לאתר שמתחזה לדואר ישראל והוא עובד כולו. בלי לזרוק אותך החוצה. בלי לינקים מתים וכו׳… ולא חושד? :-)

מישו
Guest

????

ניב
Guest

אולי קצת מידע איך לזהות אם התקנת דפדפן ברייב נגוע? אתם יודעים, מידע שימושי לקוראים שלכם?

Chromium
Guest

שים לב לדומיין של האתר. היה בטוח שכתוב שם brave.com ולא שום דבר דומה כמו bråve.com. נסה להגדיל את הדף של החיפוש כדי למצוא דברים כאלה יותר בקלות :)

wpDiscuz

תגיות לכתבה: