الأربعاء ، 1 أبريل ، 06:48
منزل أمن Chrome 80: تحرّي الخلل وإصلاحه في متجر بيانات الاعتماد المسروقة

Chrome 80: تحرّي الخلل وإصلاحه في متجر بيانات الاعتماد المسروقة

لقد كان للتغير الطفيف في متصفح Google Chrome 80 تأثير مدمر على أحد أفضل منافذ بيع الجرائم الإلكترونية.

وفقًا لدراسة جديدة أصدرتها شركة ZDNet هذا الأسبوع من KELA ، يمر Genesis Store بمرحلة صعبة في الوقت الحالي ، حيث تشهد انخفاضًا بنسبة 35٪ في عدد أوراق الاعتماد التي تم بيعها على الموقع.

تقول KELA إن مديري Genesis يحاولون حاليًا تصحيح عجز الأسهم وتزويد المتجر بأوراق اعتماد جديدة قبل أن يرى العملاء انخفاضًا في العرض.

يمكننا القول أنه ما لم تتم معالجة المشكلات الناجمة عن تحديث Chrome 80 الجديد ، فإن مستقبل المتجر لا يبدو واعداً للغاية.

ما هو سفر التكوين؟

متجر التكوين هو كيان فريد من نوعه ورائد في مجال الجريمة الإلكترونية.

بدأت في نوفمبر 2018 وتبيع أوراق اعتماد المتصفح المسروقة. ومع ذلك ، على عكس معظم منافسيها ، لا يبيع الموقع الوصول فقط إلى اسم المستخدم وكلمة المرور المسروقة. بدلاً من ذلك ، يبيع الموقع ما يطلق عليه "بصمات الأصابع".

بصمات الأصابع هذه هي صورة افتراضية لهوية المستخدم في صورة واحدة موقع على الانترنت.

تتضمن بصمات الأصابع التفاصيل الأساسية حول حساب المستخدم ، مثل اسم المستخدم و كلمة المرور، ولكن أيضا معلومات أكثر تفصيلا مثل القديم عناوين IP ملفات تعريف ارتباط المستخدم وملفات تعريف ارتباط المستعرض وسلاسل المستخدم والتفاصيل الفنية الأخرى لنظام التشغيل.

يمكن لعملاء Genesis الشراء من بصمات أصابع Facebook وحسابات التواصل الاجتماعي الأخرى إلى بصمات الأصابع من الأكبر الشركات العالم.

بعد شراء بصمة من متجر Genesis ، يتم تزويد العملاء بامتداد Chrome يمكنهم استخدامه لتطبيق "البصمة" المسروقة على متصفحهم ومحاكاة ذلك بشكل كامل تمامًا. المستخدم.

نظرًا لأن بصمات الأصابع هذه مفصلة للغاية وتتضمن معلومات أخرى غير أسماء المستخدمين وكلمات المرور ، يمكن للمتسللين الوصول إليها غالبًا حسابات التي تحميها أشكال معينة من تحديد الهوية مثل 2FA.

لقد جعل Bypassing 2FA Genesis أحد أكثر متاجر الجرائم الإلكترونية شيوعًا.

تطور Genesis من متجر صغير إلى بيع 60,000 بصمة في مارس 2019.

يلعب المتجر حاليًا دورًا مهمًا في العديد من الجرائم الإلكترونية ، حيث إن العديد من مجموعات المتسللين تشترون بصمات الأصابع المسروقة من Genesis لتنفيذ أعمالهم.

الكروم

العديد من بصمات سفر التكوين تأتي من حقن أزورولت

ظلت العمليات الداخلية للموقع غامضة منذ أن أعلن خبراء كاسبرسكي لأول مرة عن وجوده في مارس 2019.

في الأشهر الأخيرة ، بذل مدير منتجات KELA Raveed Laeb جهودًا كبيرة لدراسة متجر Genesis إلى جانب تقرير Kaspersky الأصلي لفهم كيفية عمله. موقع الكتروني.

كانت إحدى الطرق التي قام بها لايب بسحب مصدر البصمات المسروقة. في حين ادعى بعض الباحثين أن بصمات الموقع تم جمعها من خلال البرامج الضارة المثبتة على محطات العمل المصابة ، إلا أنهم لم يعرفوا أي البرامج الضارة هي المسؤولة عن كل منهم. معطيات تباع على الموقع.

لمعرفة هذا الأمر ، قال لاب إنه تجرد عبر متجر جينيسيس لجميع بصمات الأصابع المسروقة ، ثم قام بتصنيف كل بطاقة قائمة بناءً على معرف المستخدم العام (GUID) بجوار كل بصمة إصبع.

يفيد لايب أنه وجد أن 90 ٪ من جميع بصمات الأصابع المسروقة التي بيعت في سفر التكوين كانت 8-8-8-8-8 (ثمانية أحرف أبجدية رقمية في خمس كتل متتالية) ، مما يشير إلى أنها جاءت من سلالة واحدة من البرامج الضارة.

بعد إجراء مزيد من التحقيقات ، قال لايب إنه كان قادرًا على اتباع دليل GUID بالشكل المقدم للضحايا المصابين ببرنامج AZORult الخبيث ، وهو أمر منطقي ، نظرًا لأن AZORult كان أحد أكثر المسؤولين التنفيذيين نشاطًا في مجال البرامج الضارة والذي استخدمت في عام 2019 وستكون قادرة على تشغيل متجر التكوين.

بينما يشتبه Laeb في وجود عصابات متعددة من البرامج الضارة التي تدير شبكات روبوت منفصلة لبرامج AZORult الخبيثة ومن ثم توفر بصمات الأصابع المسروقة لمسؤولي Genesis ، فمن الواضح تمامًا للمراقب الخارجي أن AZORult هي نقطة الضعف الرئيسية في Genesis.

على سبيل المثال ، إذا حدث شيء ما للبرامج الضارة من نوع AZORult ، فسوف يتعرض متجر Genesis بأكمله للخطر ، مع عدم وجود بديل لمسؤولي Genesis.

تحديث كروم الثامن "يدمر" سفر التكوين

وهذا بالضبط ما حدث في أوائل فبراير 2020 ، عندما أصدرت Google Chrome 80.

باستخدام Chrome 80 ، تم تغيير Google باستخدام خوارزمية AES-256 لتجميع كلمات المرور المخزنة محليًا في قاعدة بيانات SQLite الداخلية في Chrome.

ينتج عن هذا التحول إلى AES-256 أن تكون كلمات المرور المخزنة في Chrome مختلفة في الشكل عن ذي قبل. على الرغم من أنه تغيير بسيط في الداخل قانون Chrome ، أدى هذا التغيير البسيط إلى شل قدرة AZORult على استخراج كلمات المرور من Chrome.

كان لتحديث Chrome تأثير مباشر وهائل على وظائف سفر التكوين.

في حين أن Genesis كان لديها في العام الماضي تدفق مستمر يبلغ 18.000 بصمة جديدة مسروقة تمت إضافتها إلى الموقع على أساس يومي ، فقد انخفض هذا الرقم الآن إلى 30 ضعفًا ، مع حوالي 600 إدخال جديد.

دون التقديم المستمر لبصمات الأصابع الجديدة ، تقلصت قاعدة بيانات المتجر أيضًا إلى 335.000،XNUMX أوراق الاعتماد المسروقة إلى حوالي 200.000،230.000 - XNUMX،XNUMX.

قال لايب إن الأمور لا تبدو جيدة للموقع إلا إذا تحولت إلى سلالة أخرى من البرمجيات الخبيثة واستبدلت موقع AZORult.

ومع ذلك ، في الوقت الذي قتل فيه Chrome 80 AZORult ، لم يكن لدى مديري البرامج الضارة الآخرين مشكلة في التحديث رموز بما في ذلك تحديث Raccoon Stealer الذي تم إصداره بعد أيام قليلة من إصدار Chrome 80.

قال لايب إنه في الأيام الأخيرة ، يبدو أن مديري Genesis توقفوا عن إضافة بصمات AZORult جديدة تمامًا ويضيفون الآن بصمات أصابع جديدة تم سرقتها بمساعدة سلالة صغيرة غير معروفة.

ومع ذلك ، فإن القوائم الجديدة لم تصل بعد إلى المستويات التي كانت عليها في العام الماضي ، ولا تزال مشكلة متجر جينيسيس مشكلة.

مصدر الصورة: zdnet.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
كن الإصدار المحدود.

اترك الإجابة

الرجاء إدخال تعليقك!
الرجاء إدخال اسمك هنا

أخبار مباشرة

Microsoft Edge - مراقب كلمة المرور: تنبيه عند سرقة كلمات المرور الخاصة بك

تقدم Microsoft Edge خدمة جديدة تسمى "مراقب كلمة المرور". ستخطر هذه الخدمة ...

Face ID: كيفية استخدامه أثناء ارتداء قناع الوجه

يعد جهاز Face ID من Apple رائعًا للتعرف على الوجوه بفضل نظام True Depth ، والذي ...

Canonical: يجلب أدوات Ubuntu Linux الجديدة ويدعم Raspberry Pi

مع إصدار Ubuntu 19.10 ، أعلنت Canonical عن خارطة الطريق الرسمية لأجهزة كمبيوتر Raspberry Pi أحادية اللوحة. راسبيري باي لا يدعم ...

العمل من المنزل: تجنب هذه الأخطاء التسعة

مع انتشار Covid-19 ، يفضل معظم السكان العمل من المنزل. العمل من المنزل يحتاج ...

ستقوم فورد ببناء 50,000،100 جهاز تنفس في المائة يوم القادمة

يوم الاثنين ، قالت شركة فورد أنها ستبني 50.000 جهاز تنفس على مدى 100 يوم بدءًا من 20 أبريل ...

"العدوى": أبطال الفيلم يتحدثون عن COVID-19!

تعاون أبطال فيلم "العدوى" مع علماء من كلية الصحة العامة بجامعة كولومبيا في المشاركة في إعلانات الخدمات الصحية حول ...

حرية الوصول إلى السحابة على أجهزة الكمبيوتر الكمومية D-Wave

أعلنت الشركة الكندية Quantum Computer D-Wave اليوم أنها تمنح وصولاً مجانيًا للأشخاص المعنيين ...

Airbnb: خصصت 250 مليون دولار لمضيفي التتويج

أعلنت شركة Airbnb أنها ستنفق ما مجموعه 250 مليون دولار في محاولة لدعم مضيفيها حول العالم ، ...

مكتب التحقيقات الفدرالي يحذر: الخاطفون يغزون اجتماعات Zoom الخاصة بك

حذر مكتب التحقيقات الفدرالي اليوم من الخاطفين الذين شاركوا في اجتماعات الفيديو في Zoom المستخدمة في الفصول الدراسية عبر الإنترنت واجتماعات الأعمال ، مع ...

الفيروس التاجي في أوروبا: لم تكن هناك مشاكل ازدحام إنترنت رئيسية في نهاية المطاف

قال BEREC ، منظم الاتصالات في أوروبا ، اليوم أنه منذ بدايته ...