به‌روزرسانی‌های جعلی کروم و فلش

یک به‌روزرسانی جعلی برای گوگل کروم و یک به‌روزرسانی جعلی برای media player کشف شده است. به نظر می‌رسد این بدافزارها طوری طراحی شده‌اند که کاملاً معتبر هستند.

به گزارش سافت‌گذر به نقل از فن آوری اطلاعات ایران، هر دو به‌روزرسانی مذکور توسط گواهینامه‌های معتبر امضای کد VeriSign امضا شده‌اند. این مسأله بی‌سابقه نیست، اما استفاده بدافزار نویسان از گواهینامه‌های ارائه دهنده گران‌قیمتی مانند VeriSign غیرمعمول است. سرویس‌های احراز هویت VeriSign اکنون بخشی از سایمانتک است.

این به‌روزرسانی جعلی کروم از لوگویی مشابه کروم واقعی استفاده می‌کند، ولی به راحتی از لوگوی اصلی قابل تشخیص است. صفحه مربوطه به درستی نسخه کروم در حال اجرا برروی سیستم قربانی را شناسایی می‌کند و پیغامی مبنی بر احتمال به‌روز نبودن مرورگر کروم به کاربر نمایش می‌دهد.

نام فایل مزبور Chrome_Security_Plugin_Setup.exe و حجم آن ۱٫۷۴ مگابایت است. اطلاعات فایل آن را تحت عنوان Express Install نسخه ۳٫۷٫۱٫۰ معرفی می‌کند. منتشر کننده این فایل نیز در گواهینامه امضای VeriSign به نام TINY INSTALLER ثبت شده است.

به گزارش VirusTotal در صبح جمعه، پنج محصول از کل ۴۸ محصولی که این مجموعه با آن کار می‌کند، این فایل را شناسایی کرده‌اند. Fortinet و ESET آن را تحت عنوان W32/Kryptik می‌شناسند.

به‌روزرسانی جعلی ادوب اندکی ناواضح بوده و به کاربر پیغامی مبنی بر لزوم به‌روزرسانی Media Player می‌دهد، اما ظاهری شبیه به به‌روزرسانی‌های ادوب دارد.

نام فایل Flash Player 12.exe بوده و حجم آن ۸۱۴ کیلوبایت است. منتشر کننده این فایل در هدر و همچنین در گواهینامه امضای VeriSign تحت عنوان Air Software معرفی شده و نام محصول نیز Adobe Flash Player نسخه ۲٫۰٫۴٫۵۴ است. ۹ شرکت از ۴۸ شرکت آنتی‌ویروس که VirusTotal با آنها کار می‌کند، این فایل را اغلب به عنوان تبلیغ‌افزار شناسایی کرده‌اند.