חיפוש מותאם
  • 053-9263856
המלצות
חיפוש מותאם
חיפוש מותאם
קידום אורגני סודי

פישינג מתוחכם בדפדפן כרום

הודעות חוזרות ונשנות של דפדפן Chrome המבקשות עדכון עשויות להעיד על פעילות זדונית, ניסיון התקפה או נוזקה הפועלת ברקע.

להלן מספר סיבות:

1. ניסיון פישינג (Phishing)

  • הודעות המתחזות לעדכון Chrome עלולות להוביל את המשתמש לעמוד זדוני להורדת נוזקה או לחשוף פרטי גישה. 

2. תוכנה זדונית (Malware)

  • Malware שהותקן כבר במחשב עשוי לגרום להצגת חלונות קופצים המדמים הודעות עדכון לדפדפן, שמטרתם לשכנע את המשתמש להפעיל או להוריד קובץ זדוני נוסף.

3. התקפת MITM (Man-in-the-middle)

  • תוקף יכול ליירט את תעבורת האינטרנט של המשתמש, לשנות את הדפים שמוצגים ולספק הודעות מזויפות.

4. תוספים זדוניים

  • תוספים מותקנים זדוניים או בלתי מוכרים עלולים לגרום להתראות חריגות בדפדפן.
כניסה לאתר מראה שכרום צריך עדכון
כניסה לאתר מראה שכרום צריך עדכון
עדכון מזוייף של דפדפן כרום
עדכון מזוייף של דפדפן כרום
זהו הקובץ שיורד לאחר לחיצה על העדכון המזוייף
זהו הקובץ שיורד לאחר לחיצה על העדכון המזוייף

איך לבדוק אם ההודעה זדונית או לגיטימית?

  • ודא את גרסת Chrome הנוכחית באמצעות:
     
    chrome://settings/help
  • השווה את הגרסה הרשמית באתר של Chrome.
  • בדוק כתובות URL או קישורים המוצגים בהודעה החשודה.
  • הרץ סריקות לזיהוי תוכנות זדוניות בעזרת כלים כגון Malwarebytes או Microsoft Defender.
  • בדוק את הרשאות התוספים המותקנים:
     
    chrome://extensions
  • עקוב אחרי פעילות חריגה בתהליכים דרך ה-Task Manager.

סימני אזהרה נוספים:

  • כתובת URL חשודה או שגיאות כתיב בהודעה.
  • הודעה מתפרצת גם כאשר הדפדפן סגור.
  • הודעה שאינה תואמת את התנהגות Chrome הרשמית.

 מומלץ לבדוק את התעבורה בעזרת Wireshark, וכן לבצע סריקה עמוקה במערכת לזיהוי כל פעילות לא שגרתית.

 

מה זה MITRE ATT&CK™ Techniques Detection ולמה זה חשוב?

🚀 קודם כל – מה זה MITRE ATT&CK?

MITRE ATT&CK הוא מסד נתונים (Database) שמספק רשימה מסודרת של שיטות וטכניקות שבהן האקרים ותוקפים משתמשים כדי לפרוץ למערכות מחשב. זה כמו ספר חוקים שמתאר את כל הדרכים שבהן האקרים יכולים לתקוף.

לדוגמה, התוקפים יכולים:

  • לדוג מידע – לחפש קבצים חשובים במחשב.
  • להריץ קוד זדוני – להפעיל וירוסים או תוכנות זדוניות.
  • לגנוב סיסמאות – לקחת מידע רגיש מהמשתמשים.

🎯 ומה זה “Techniques Detection”?

“זיהוי טכניקות” מתייחס ליכולת של מערכות אבטחה לזהות ולנטר את הטכניקות שהתוקפים משתמשים בהן בזמן אמת.

תחשוב על זה כעל מצלמות אבטחה חכמות, שמזהות לא רק מי נכנס לבית, אלא גם איך הוא מנסה לפרוץ:

  • האם הוא מנסה לפתוח את הדלת עם מפתח גנוב?
  • האם הוא מטפס דרך החלון?
  • האם הוא משתמש בכלים מיוחדים כדי לשבור את המנעול?

אותו הדבר קורה גם במערכות מחשב – אם האקרים מנסים לפרוץ, המערכת צריכה לזהות באיזו טכניקה הם משתמשים.

🔍 איך זה עוזר להגן על מערכות מחשב?

  1. זיהוי מוקדם של מתקפות – במקום לחכות שהנזק כבר קרה, אפשר לעצור את התוקף לפני שהוא פוגע במערכת.
  2. תגובה חכמה – אם אנחנו יודעים איך תוקף פועל, אפשר להפעיל תגובה מתאימה (כמו חסימה אוטומטית).
  3. שיפור מערכות אבטחה – אם רואים שטכניקה מסוימת חוזרת שוב ושוב, אפשר לשפר את ההגנות מולה.

🛡️ דוגמה מהחיים האמיתיים

נניח שאתה מנהל מערכת מחשבים בארגון, ויש לך מערכת אבטחה שיודעת לזהות זיהוי טכניקות. 

יום אחד, המערכת מזהה שמשתמש מנסה לגשת למאגר הסיסמאות של החברה אבל בשיטה חשודה.

🔔 המערכת שולחת התראה:

“זוהתה טכניקה מסוכנת – ניסיון גניבת סיסמאות!”

💡 איך המערכת מזהה את זה?

  • היא יודעת שתוקפים משתמשים בשיטה כזו.
  • היא מזהה שהתהליך שמופעל אינו תקין.
  • היא יכולה לעצור את הפעולה לפני שנגרם נזק.
סוג התוכנה המזיקה בעדכון המזוייף
סוג התוכנה המזיקה בעדכון המזוייף

טרויאני Trojan[Downloader]/JS.Cryxos והפעילות המזיקה שלו:

🔴 מהו Trojan[Downloader]/JS.Cryxos?

מדובר בטרויאני זדוני מבוסס JavaScript, שמשתמש בשיטות של הונאה והפחדה (Scareware) כדי לשכנע משתמשים שהמחשב שלהם נפגע, במטרה להניע אותם לבצע פעולות שעלולות לגרום לפגיעה חמורה יותר, כגון מתן גישה למערכת או הונאות כספיות.

📌 מאפייני הפעילות המרכזיים שלו:

  1. הודעות והתרעות שקריות

    • מציג התראות מזויפות בדפדפן, המזהירות שהמחשב נגוע בוירוסים או נחסם מסיבות אבטחה.
    • לעיתים קרובות התראות אלו כוללות מספר טלפון של “תמיכה טכנית” מזויפת, ומעודדות את המשתמש ליצור קשר לקבלת סיוע.

  2. הורדה של קבצים זדוניים נוספים

    • יכול להוריד ולהתקין Malware או כלים זדוניים נוספים ללא ידיעת המשתמש.

  3. גניבת מידע

    • יכול לאסוף מידע על המערכת, על הדפדפן ועל המשתמש, ולשלוח מידע זה לשרתים חיצוניים.

  4. חסימת דפדפנים

    • במקרים מסוימים, הוא יכול לנעול את המשתמש בדפדפן, ולמנוע שימוש נורמלי במערכת, עד להפעלת הפעולה שהטרויאן דורש.

🚩 דרכי ההפצה של Cryxos:

  • אתרי אינטרנט נגועים או פרוצים.
  • פרסומות זדוניות (Malvertising).
  • קישורים מזויפים שנשלחים דרך אימיילים, רשתות חברתיות או תוכנות מסרים.

🛡️ איך להתגונן מפניו?

  • לא להגיב להודעות חשודות – לא ליצור קשר עם “מוקדי תמיכה” מזויפים.
  • לסגור מידית את חלונות ההתראה בדפדפן – במקרה שהופיעה הודעה חשודה, סגור את החלון מיד (Alt + F4 או דרך מנהל המשימות).
  • סריקות תקופתיות – להשתמש בתוכנות אנטי-וירוס או אנטי-מלוואר לבדיקת המערכת.
  • הימנעות מהורדת קבצים ממקורות לא מוכרים – בעיקר קבצי JavaScript, EXE או קבצי Office עם מאקרו.

🔍 כלים לניתוח ובדיקה מומלצים:

הקובץ הוא זדוני!

🔹 נראה שהקובץ יוצר חיבורים חשודים לאתרים לא מוכרים, חלקם עם מבני קישוריות אופייניים לנוזקות.
🔹 ייתכן שהוא משמש לריגול, הורדת קוד זדוני נוסף, או שליחת מידע רגיש לשרתים מרוחקים.

🔴 סימנים חשודים:
הקובץ המדובר מתקשר עם שמות מתחם (דומיינים) ואתרים חשודים, אשר חלקם אינם נראים לגיטימיים ומתקשרים עם שרתים חיצוניים בכתובות IP שונות.

🛠 פירוט נקודות חשודות:

  1. DNS Resolutions – שמות דומיינים שנפתרו לכתובות IP

    • הקובץ ניסה לתקשר עם הדומיינים:
      • badwebsites.top (IP: 94.ccc.ccc.85)
      • badwebsites.site (IP: ccc.94.ccc.116)
      • badwebsites.com (IP לא רשום אבל קשור לתעבורת רשת)
    • שמות הדומיינים הללו לא נראים שייכים לאתרים לגיטימיים, וייתכן שהם חלק מתשתית של נוזקות או בוטנטים.

  2. IP Traffic – תקשורת רשת חשודה

    • הקובץ יצר חיבורים לפרוטוקול TCP דרך פורט 80 (HTTP לא מאובטח).
    • היעדים הם השרתים badwebsite.site ו-badwebsites.top, שייתכן שמכילים פקודות זדוניות או משמשים להורדת תוכן מסוכן.

  3. Memory Pattern Domains – דומיינים שנמצאו בזיכרון

    • מופיעים דומיינים נוספים כמו 5643dwebsitesme.com, crl.glo, crl.securetrust.com וכו’.
    • חלקם אולי משמשים להסוואה או לבדיקה אם המחשב נמצא בסביבה אמיתית (ולא במכונת ניתוח נוזקות).

  4. Memory Pattern URLs – קישורים שנמצאו בזיכרון

    • הכתובות כוללות קישורים HTTP רבים, חלקם עם פרמטרים דינמיים כמו $env:computername (שולח את שם המחשב לשרת חיצוני).
    • קישורים כמו:
      • badwebsites.site/1.php?s=badcommand

    • תבנית זו (רק לדוגמה) מרמזת על ניסיון לאסוף מידע מהמערכת ולהעביר אותו לשרת חיצוני.

לאחר בדיקה בvirus total
לאחר בדיקה בvirus total

🔥 1. הפעלת פקודות דרך Windows Management Instrumentation (WMI)

📌 מה זה WMI?
זה כלי של Windows שמאפשר למנהלי מערכת לאסוף מידע ולבצע פעולות על המחשב באופן אוטומטי.

📌 איך תוקפים משתמשים בזה?

  • הם יכולים לשאול את המערכת אם היא פועלת על מחשב אמיתי או מכונה וירטואלית (כדי לזהות אם זו מלכודת).
  • הם יכולים להריץ פקודות מסוכנות על המחשב בלי שהתהליך ייראה חשוד.
  • הם משתמשים ב-WMI כדי לאסוף מידע על תוכנות ותהליכים שרצים על המחשב.

⚡ 2. הפעלת קוד זדוני דרך חלון הפקודות (Command Line)

📌 מה זה?
שורת הפקודה של Windows היא דרך לשלוח הוראות ישירות למחשב, כמו הפעלת תוכנות או שינוי קבצים.

📌 איך תוקפים משתמשים בזה?

  • הם מריצים פקודות מוסתרות (Obfuscated Command Line) – כלומר, מנסים לטשטש את הקוד כדי שהוא לא ייראה חשוד.
  • הם משתמשים בפקודות ארוכות בצורה קיצונית – מה שיכול להעיד על קוד מוצפן או מוסתר שמטרתו להריץ תקיפה.

🛠️ 3. שימוש ב-PowerShell להרצת קוד זדוני

📌 מה זה PowerShell?
זה כלי מתקדם ב-Windows שמאפשר לבצע משימות אוטומטיות ולנהל את המערכת.

📌 איך תוקפים משתמשים בזה?

  • הם משתמשים ביכולות של PowerShell לפתוח ולפרק קבצים דחוסים, מה שעוזר להם להסתיר קוד זדוני בתוך קבצים תמימים.

📜 4. שימוש בסקריפטים זדוניים (כמו JavaScript ו-VBScript)

📌 מה זה סקריפטים?
קוד קצר שמשמש להפעלת פקודות באופן אוטומטי בתוך המחשב או הדפדפן.

📌 איך תוקפים משתמשים בזה?

  • סקריפטים מנסים לקרוא לפונקציות מסוכנות בצורה מוסתרת, כדי לא להתגלות על ידי תוכנות אבטחה.
  • סקריפטים עם טיימרים – תוקפים משתמשים בזה כדי לעכב את הפעלת הקוד הזדוני ולנסות להתחמק מתוכנות אנטי-וירוס.
  • קבצי JavaScript עם טקסט ארוך במיוחד – בדרך כלל מדובר בקוד מוסתר (Obfuscation) שמכיל התקפה בפנים.

📌 עדכון חשוב:
השיטה הזו כבר לא נחשבת כטכניקה רשמית במאגר של MITRE ATT&CK, כנראה בגלל שהרבה מערכות אבטחה כבר מזהות ומנטרלות אותה.

🔧 5. שימוש ישיר ב-API של Windows (Native API)

📌 מה זה API?
זה כמו “ערכת כלים” של Windows שמאפשרת לתוכנות ולמשתמשים לדבר עם מערכת ההפעלה.

📌 איך תוקפים משתמשים בזה?

  • הם מריצים קוד ישירות דרך ה-API של Windows כדי לעקוף תוכנות אבטחה.
  • הם יכולים לבצע פעולות מסוכנות כמו שינוי קבצים, הפעלת תהליכים, או גישה לזיכרון המערכת.

🛡 המלצות לפעולה:

✅ אם הקובץ הופעל במחשב – יש לנתק אותו מהרשת ולבצע סריקה עמוקה עם אנטי-וירוס אמין.
✅ אם הוא נמצא במערכת ארגונית – יש לבדוק לוגים ולחסום את הכתובות החשודות ב-Firewall.
✅ לא לפתוח או להריץ את הקובץ במערכות קריטיות ללא סביבה מוגנת (Sandbox).

🚨 ניתוח קוד זדוני – מה הוא עושה ולמה הוא מסוכן?

הקוד  הוא קובץ JavaScript זדוני מאוד ומוסווה, שנועד ככל הנראה לבצע פעולות זדוניות במערכת המותקפת, תוך הסתרה מהמשתמש וממערכות אבטחה.

🔍 איך הקוד הזה פועל?

1️⃣ שימוש בהצפנה פשוטה (XOR) לפענוח נתונים מוסתרים

  • יש שימוש בפונקציה _0xa37a שעובדת כך:

    1. הקוד מכיל רשימה של מספרים (מופרדים בנקודה) במקום טקסט גלוי.
    2. לכל מספר מוחל תהליך XOR עם המפתח 9 כדי להמיר אותו לאותיות רגילות.
    3. בסופו של דבר, מתקבל טקסט קריא שכנראה מכיל כתובת אינטרנט, פקודות זדוניות, או קוד נוסף להורדה.

  • למה זה מסוכן?

    • השיטה הזו משמשת האקרים להסתיר מידע בתוך הקוד כדי למנוע גילוי ע”י תוכנות אנטי-וירוס.
    • ייתכן שהקוד מסתיר כתובת URL שאליה הוא יוצר חיבור להורדת קובץ זדוני נוסף.

2️⃣ קידוד מבוסס הקסדצימלי (Hex) להחבאת קובץ זדוני

הפונקציה ממירה מחרוזת מקודדת הקסדצימלית למידע גולמי (בינארי).

    • זו כנראה תוכנה זדונית שמוסתרת בתוך הקוד ומופעלת לאחר פענוח.

  • מטרת השיטה הזו:

    1. להחביא קובץ זדוני בתוך קובץ JavaScript תמים לכאורה.
    2. להפעיל קובץ זה לאחר הפענוח ולבצע פעולות מסוכנות.

3️⃣ הרצת פקודות דרך WMI (Windows Management Instrumentation)

  • הקוד הזה משתמש ב-GetObject() כדי לגשת לניהול מערכת ב-Windows (WMI).
  • שימוש נפוץ של שיטה זו כולל:
    • הרצת פקודות PowerShell או VBScript בצורה סמויה.
    • שינוי הגדרות מערכת והשתלת דלת אחורית (Backdoor).
    • ניסיון לעקוף אנטי-וירוס.

💀 אילו מטרות יש לתוקפים שמשתמשים בקוד הזה?

🔴 גניבת מידע רגיש – הקוד יכול:

  • לאסוף מידע על המחשב (משתמשים, קבצים, רשתות).
  • לשלוח את המידע לשרת חיצוני (כפי שניתן לראות בקוד).

🔴 הורדת נוזקות נוספות – ייתכן שהקובץ הזה הוא רק “שלב ראשון” בהתקפה, והוא מוריד קובץ אחר (כמו וירוס כופר או סוס טרויאני).

🔴 שליטה מרחוק על המחשב הנדבק – באמצעות WMI ו-PowerShell, התוקף יכול להריץ פקודות מרחוק בלי שהמשתמש יידע.

🔴 שימוש במחשב הנדבק כ”בוט” – ניתן להשתמש במחשב כחלק מבוטנט (רשת מחשבים שנשלטת מרחוק ומשמשת להפצת תקיפות נוספות).

🔴 שינוי קבצי מערכת למטרות זדוניות – הקובץ עשוי לשנות רישומי מערכת (Registry) ולהפעיל את עצמו מחדש גם אחרי הפעלה מחדש של המחשב.

🛡 איך להתגונן ולהגיב אם נתקלת בקובץ כזה?

✅ לא להריץ את הקובץ בשום אופן!
✅ לבדוק עם אנטי-וירוס מתקדם – להשתמש בתוכנות כמו Windows Defender, Malwarebytes, או VirusTotal.
✅ לנטר חיבורים לרשת – לבדוק אם המחשב מנסה להתחבר לכתובות חשודות.
✅ להגביל הרשאות ניהול – הקוד הזה מנצל גישה למערכת, ולכן כדאי להגביל למשתמשים את היכולת להריץ קבצי סקריפטים מסוכנים.
✅ אם זה בארגון – לדווח לצוות ה-IT ולבודד את המחשב מהרשת!