شایان‌ذکر است که ویندوز 10 هدف اصلی اپراتورهای بدافزار است. در جدیدترین کمپین، مهاجمان پس‌ازاینکه از طریق یک وب‌سایت آسیب‌دیده در سرویس تبلیغاتی Google Chrome به دستگاه تحویل داده شد و UAC (کنترل حساب کاربری)، حفاظت انحصاری امنیت سایبری در سیستم‌عامل ویندوز، محفوظات انحصاری امنیت سایبری در سیستم‌عامل ویندوز را دور می‌زنند، مهاجمان بار را به‌عنوان یک برنامه ویندوز نصب می‌کنند.
 به‌روزرسانی جعلی مرورگر کروم و فایرفاکس، کاربران را به آلودگی بدافزار سوق می‌دهد محققان دریافتند مهاجمان از یک وب‌سایت آسیب‌دیده استفاده می‌کنند که به‌ویژه برای بهره‌برداری از نسخه‌ای از مرورگر کروم (که بر روی ویندوز 10 اجرا می‌شود) برای تحویل بار مخرب ساخته‌شده است. بررسی‌ها در پرونده تاریخچه مرورگر کروم کاربران آلوده نشان داد که قبل از آلودگی اولیه، به چندین دامنه مشکوک و سایر زنجیره‌های تغییر مسیر غیرمعمول داده‌شده است.
زنجیره حمله
زنجیره حمله زمانی شروع می‌شود که کاربر مرورگر کروم از یک وب‌سایت آلوده بازدید می‌کند. سرویس تبلیغاتی مرورگر کروم فوراً از آن‌ها می‌خواهد که اقدام کنند و مرورگر را به‌روز کنند. این‌یک به‌روزرسانی مخرب Chrome است که به یک بسته برنامه Windows با یک فایل نوع MSIX ‪(oelgfertgokejrgre.msix)‬ پیوند داده‌شده است. این فایل در دامنه chromesupdate[.]‎com میزبانی می‌شود. محققان تأیید کردند که این فایل یک بسته برنامه کاربردی ویندوز است.‬
مکانیسم تحویل آن از طریق یک سرویس تبلیغاتی به‌عنوان یک برنامه کاربردی ویندوز (که مصنوعات قانونی دانلود مبتنی بر وب را پشت سر نمی‌گذارد)، مسیر نصب برنامه‌های کاربردی ویندوز، و تکنیک به ای پس UAC با دست‌کاری متغیر محیطی و وظیفه برنامه‌ریزی‌شده بومی می‌تواند توسط اندرو ایوامایه، تحلیلگر تحقیقاتی Rapid7، نوشت: راه‌حل‌های امنیتی مختلف یا حتی توسط یک تحلیلگر باتجربه SOC.
بسته برنامه مخرب نصب‌شده توسط فایل MSIX در فروشگاه رسمی مایکروسافت میزبانی نمی‌شود. درخواستی برای اجازه نصب برنامه‌های بارگذاری جانبی از فروشگاه‌های شخص ثالث در دسترس است.
بعد از نصب بدافزار چه اتفاقی می‌افتد؟
هنگامی‌که بدافزار بر روی دستگاه موردنظر نصب می‌شود، شروع به استخراج داده‌های حساس کاربر، ازجمله اعتبار ذخیره‌شده در مرورگر یا ارز دیجیتال، جلوگیری از به‌روزرسانی مرورگر و فعال کردن اجرای دستور در دستگاه آسیب‌دیده می‌کند. همچنین می‌تواند حتی در صورت حذف بدافزار روی دستگاه ثابت بماند.
Iwamaye توضیح داد که برای حفظ پایداری دستگاه، Infostealer از «متغیر محیط ویندوز و یک وظیفه برنامه‌ریزی‌شده بومی برای اطمینان از اجرای مداوم آن با امتیازات بالا سوءاستفاده می‌کند». تحقیقات بیشتر نشان داد که بدافزار بر روی رایانه شخصی بارگیری می‌شود زیرا نقصی در Chrome وجود دارد که به بدافزار اجازه می‌دهد UAC را دور بزند.
منبع: cyberpolice.ir