IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

هایجک پلاگین Notepad++ برای تزریق کد مخرب

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir hackers hijacked notepad plugin 1
هکر‌ها یک پلاگین محبوب Notepad++ را دستکاری کرده و کد مخربی را تزریق کرده‌اند که پس از اجرا، سیستم‌های کاربران را به خطر می‌اندازد.

محققان مرکز اطلاعات امنیتی AhnLab (ASEC) فاش کردند که پلاگین "mimeTools.dll" که به طور گسترده مورد استفاده است، برای انجام این حمله تغییر یافته است.

ادیتور Notepad++، یک ویرایشگر متن و کد منبع مورد علاقه برنامه نویسان و نویسندگان به دلیل تطبیق‌پذیری و پشتیبانی از افزونه، به شکلی ناخواسته، تبدیل به ابزاری و وسیله‌ای برای مجرمان سایبری شده است.

پکیج مخرب و پکیج قانونی
پلاگین تغییر یافته "mimeTools.dll" که جز پیش‌فرض Notepad++ است، در حالی کشف شد که تحت عنوان و قالب یک پکیج قانونی ظاهر می‌شود و کاربران را برای دانلود و نصب نسخه در معرض خطر فریب می‌دهد.

takian.ir hackers hijacked notepad plugin 2
‌پلاگین mimeTools که به دلیل عملکرد‌های رمزگذاری مانند Base64 شناخته شده است، هنگام راه اندازی Notepad++ به طور خودکار بارگذاری می‌شود. مهاجمان با استفاده از تکنیکی به نام DLL Hijacking از این عملکرد و الگو سواستفاده کردند.

وقتی Notepad++.exe راه‌اندازی می‌شود، فایل «mimeTools.dll» به‌طور خودکار بارگیری می‌شود و باعث فعال‌سازی کد مخرب تعبیه‌شده، بدون نیاز به هیچ اقدام دیگری از سوی کاربر می‌شود.

takian.ir hackers hijacked notepad plugin 3
‌مهاجمان به طور هوشمندانه کد مخرب Shell و کدی را برای رمزگشایی و اجرای آن در فایل "mimeTools.dll" اضافه کرده‌اند.

تحقیقات ASEC فایلی به نام "certificate.pem" را در پکیج تغییریافته به‌عنوان محفظه کد پوسته مخرب نشان داد.

علیرغم دستکاری صورت گرفته، عملکرد‌های اصلی افزونه دست‌نخورده باقی ماندند و فقط کد DllEntryPoint تغییر کرد. این رویکرد مخفی تضمین می‌کند که فعالیت‌های مخرب از لحظه بارگیری DLL بدون اطلاع کاربر شروع می‌شود.

جریان اجرای کد مخرب با راه‌اندازی Notepad++ و بارگیری بعدی «mimeTools.dll» آغاز می‌شود.

سپس DLL کد پوسته موجود در فایل "certificate.pem" را رمزگشایی و اجرا می‌کند و حمله را آغاز می‌شود.

در گزارش آمده است که: "همانطور که مجرمان سایبری به تکامل تاکتیک‌های خود ادامه می‌دهند، جامعه امنیت سایبری همچنان متعهد به کشف و کاهش چنین تهدیداتی است و از تجربیات دیجیتالی کاربران محافظت می‌کند".

برچسب ها: تزریق کد, Code Injection, k, certificate.pem, DLL Hijacking, mimeTools.dll, Cyber Attack, پلاگین‌, نوت پد, Notepad, Shell, DLL, Plugin, cybersecurity, آسیب‌پذیری, Vulnerability, جاسوسی سایبری, امنیت سایبری, جنگ سایبری, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ ایمیل