Cyble بدافزار مخفی و پیچیده را تجزیه و تحلیل کرد که قادر به دور زدن رمزگذاری مبتنی بر برنامه Chrome از طریق تکنیکهای تزریق دوگانه است.
Cyble بدافزاری را شناسایی کرد که از طریق فایل ZIP حاوی یک فایل LNK. پنهان شده به صورت PDF و فایل پروژه XML منتشر شده است که به عنوان یک PNG ظاهر میشود تا کاربران را جهت باز کردن آن فریب دهند. نام فایل نشان میدهد که بدافزار احتمالاً سازمانهایی را در ویتنام به ویژه بخشهای بازاریابی تلفنی یا فروش، هدف قرار میدهد. فایل LNK یک کار برنامهریزی شده ایجاد میکند که هر 15 دقیقه اجرا میشود و MSBuild.exe را برای استقرار کد #C مخرب اجرا میکند. این بدافزار میتواند رمزگذاری App-Bound Chrome را دور بزند و یک پیلود سارق را برای هدف قرار دادن فایلهای حساس مرتبط با کروم به کار گیرد.
افزون بر این، از تکنیک Double Injection برای اجرای بدون فایل برای فرار از تشخیص استفاده میکند و از طریق API وب تلگرام برای اجرای دستورات، با عوامل تهدید (TA) ارتباط برقرار می کند. این بدافزار TA را قادر میسازد تا شناسه ربات تلگرام و شناسه چت را در صورت نیاز تغییر دهد و انعطافپذیری در کنترل کانالهای ارتباطی خود ارائه دهد. این حمله از اجرای بدون فایل، تداوم وظایف برنامهریزی شده و ارتباطات مبتنی بر تلگرام برای فرار از شناسایی و سرقت دادههای حساس استفاده میکند. با سوء استفاده از MSBuild.exe و استفاده از تکنیک تزریق دوگانه، بدافزار مستقیماً در حافظه اجرا میشود و تشخیص آن را دشوارتر میکند. توانایی آن برای دور زدن رمزگذاری Application-Bound کروم و استخراج اعتبار، تأثیر آن را بیشتر تقویت میکند
https://cyble.com/blog/dual-injection-undermines-chromes-encryption/
