اگر تصور میکنید لایههای امنیتی مرورگرتان در برابر بدافزارها نفوذناپذیر است، باید بدانید که روش جدیدی به نام Exif Smuggling تمام این تصورات را به چالش میکشد. تصور کنید یک تصویر JPG ساده که در هر وبسایتی میبینید، در واقع حامل یک کد مخرب باشد که هیچ آنتیویروسی آن را شناسایی نمیکند.
مرورگرها برای افزایش سرعت، تصاویر را در حافظه پنهان مرورگر (Browser Cache) — که شبیه دفترچه یادداشتی است برای ذخیره سریع اطلاعات تکراری تا نیاز به دانلود مجدد نباشد — ذخیره میکنند. مهاجمان اکنون این قابلیت را به سلاحی تبدیل کردهاند. همانطور که در تحلیلهای پیشین ما دربارهی امنیت نقاط انتهایی اشاره کردیم، مهاجمان همیشه به دنبال نقاط کور در سیستمهای نظارتی هستند.
طبق اعلام signalblur، این اثبات مفهوم در ۹ ژوئن ۲۰۲۶ منتشر شد. بر اساس مستندات این پروژه، حمله از سه ابزار کلیدی استفاده میکند:
- exif_smuggling.py: این ابزار بار مفید (Payload) — یعنی همان بخش مخرب کد که شبیه بمبی داخل یک بسته هدیه است — را در متادیتای JPG جاسازی میکند.
- build_clickfix_cmd.py: این اسکریپت، لودر را به یک دستور ClickFix تبدیل میکند تا کاربر را فریب دهد.
- chrome_poc.ps1: این لودر، بار مفید را مستقیماً از حافظه پنهان مرورگر Chrome استخراج و اجرا میکند.
به گزارش تحلیلگران، این رویکرد میدان نبرد امنیتی را از لایه شبکه به دیسک محلی منتقل میکند. فایروالهای سنتی و سیستمهای شناسایی و پاسخ در نقاط انتهایی (EDR) معمولاً ارتباطات خروجی مشکوک به IPهای ناشناس را رصد میکنند. اما در این حمله، «دانلود» به شکل یک بارگذاری روتین تصویر صورت میگیرد؛ بنابراین لودر برای اجرای مرحله دوم، هیچ درخواست خارجی ارسال نمیکند و رادارهای امنیتی را دور میزند.
این موضوع ثابت میکند که اعتماد به محتوای حافظه پنهان، یک حفره امنیتی بزرگ در معماری مدرن مرورگرها است.
گام بعدی شما
- بررسی کنید که آیا سیستمهای EDR شما الگوهای خواندن حافظه پنهان (Local Cache) را برای شناسایی امضاهای اجرایی رصد میکنند یا خیر.
- برای درک عمیقتر تئوری این حمله، پژوهشهای MalwareTech را مطالعه کنید.
- دسترسیهای لازم برای اجرای اسکریپتهای PowerShell را در سازمان خود محدود کنید.
اما داستان سختافزاری این تحول حتی شگفتانگیزتر است؛ اثرات این نوع حملات بر تراشههای امنیتی نسل جدید را در گزارش بعدی بررسی خواهیم کرد.
گفتگو