به‌روزرسانی‌های جعلی کروم و فلش

به گزارش «ایسنا»، به نظر می‌رسد این بدافزارها طوری طراحی شده‌اند که کاملا معتبر هستند. هر دو به‌روزرسانی مذکور توسط گواهینامه‌های معتبر امضای کد VeriSign امضا شده‌اند. این مساله بی‌سابقه نیست، اما استفاده بدافزار‌نویسان از گواهینامه‌های ارائه دهنده گران‌قیمتی مانند VeriSign غیرمعمول است. سرویس‌های احراز هویت VeriSign اکنون بخشی از سایمانتک است. این به‌روزرسانی جعلی کروم از لوگویی مشابه کروم واقعی استفاده می‌کند، ولی به راحتی از لوگوی اصلی قابل تشخیص است. صفحه مربوطه به درستی نسخه کروم در حال اجرا روی سیستم قربانی را شناسایی می‌کند و پیغامی مبنی بر احتمال به‌روز نبودن مرورگر کروم به کاربر نمایش می‌دهد. نام فایل مزبور Chrome_Security_Plugin_Setup.exe و حجم آن ۷۴/۱ مگابایت است. اطلاعات فایل آن را تحت عنوان Express Install نسخه ۳.۷.۱.۰ معرفی می‌کند. منتشرکننده این فایل نیز در گواهینامه امضای VeriSign به نام TINY INSTALLER ثبت شده است.

به گزارش VirusTotal در صبح جمعه، پنج محصول از کل ۴۸ محصولی که این مجموعه با آن کار می‌کند، این فایل را شناسایی کرده‌اند. Fortinet و ESET آن را تحت عنوان W۳۲/Kryptik می‌شناسند. به‌روزرسانی جعلی ادوب اندکی ناواضح بوده و به کاربر پیغامی مبنی بر لزوم به‌روزرسانیMedia Player می‌دهد، اما ظاهری شبیه به به‌روزرسانی‌های ادوب دارد. بنا بر اعلام مرکز ماهر، نام فایلFlash Player ۱۲.exe بوده و حجم آن ۸۱۴ کیلوبایت است. منتشرکننده این فایل در هدر و همچنین در گواهینامه امضای VeriSign تحت عنوان Air Software معرفی شده و نام محصول نیز Adobe Flash Player نسخه ۲.۰.۴.۵۴ است. ۹ شرکت از ۴۸ شرکت آنتی‌ویروس که VirusTotal با آنها کار می‌کند، این فایل را اغلب به عنوان تبلیغ‌افزار شناسایی کرده‌اند.