تبلیغات
گروه امنیتی منطقه تاریکی - مطالب ابر اندروید
گروه امنیتی منطقه تاریکی

گسترش باج‌افزار Cryptowall از طریق تبلیغات آلوده

دوشنبه 19 خرداد 1393

نوع مطلب :اخبار دنیای امنیت، 

در چند سال اخیر، باج‌افزار‌های زیادی توسعه پیدا کرده‌اند که در انواع سامانه‌عامل‌های اندروید، OS X و ویندوز به خوبی عمل می‌کنند و به لطف ماهیت ناشناس پول‌های الکترونیکی مانند بیت‌کوین و MoneXy با رمز‌کردن پرونده‌های کاربر و یا قفل کردن کامل دستگاه وی،‌ از قربانیان اخاذی می‌کنند.
متأسفانه همان‌طور که باج‌افزار‌های بیش‌تری کشف می‌شوند، انواع جدید دارای قابلیت‌های بسیار زیادی هستند و به‌نحوی طراحی شده‌اند که امکان باز‌پس‌گیری پرونده‌های رمز‌شده تنها از طریق خود مهاجم امکان‌پذیر باشد.
در یک سال گذشته بارها اخبار باج‌افزار بسیار پیش‌رفته‌ی CryptoLocker در اخبار شنیده شده است که  با سرویس بیت‌کوین و سرویس MoneXy از قربانیان پول دریافت می‌کرد.
نسخه‌ی جدید این باج‌افزار به نام Crytowall، مشتق گرفته شده از باج‌افزار معروف  CryptoLocker، به‌تازگی از طریق تبلیغات در وب‌گاه‌های بزرگی مانند فیسبوک، رو‌زنامه‌ی گاردین، شرکت انیمیشن‌سازی دیزنی و … کاربران ویندوزی را تشویق به بارگیری بدافزار‌های مخربی می‌کند که در نهایت رایانه‌ی آن‌ها را به باج‌افزار آلوده می‌کند.
نسخه‌ای ازCryptolocker  توسط توسعه‌دهندگان باج‌افزار پیش‌رفته‌تری به نام CryptoDefense ایجاد  و در اواخر ماه مارس کشف شد، این باج‌افزار دیسک سخت کاربر را با الگوریتم رمز‌نگاری ۲۰۴۸ بیتی RSA رمز می‌کند و تا زمان پرداخت پول، پرونده‌ها رمز‌شده باقی می‌مانند، اما این نسخه از باج‌افزار به این علت که توسعه‌دهندگان فراموش کرده بودند کلید رمز‌گشایی را از محتویات پرونده‌های باج‌افزار حذف کنند با شکست مواجه شد.
برای غلبه بر چنین شکستی توسعه‌دهندگان باج‌افزار Cryptowall را ایجاد کرده‌اند که این‌بار بدون کلید رمز‌گشایی پرونده‌ها منتشر می‌شود و امکان باز‌پس‌گیری پرونده‌ها وجود نخواهد داشت.
این باج‌افزار زمانی‌که محققان سیسکو گزارش دادند برنامه‌ای به نام RIG Exploit Kits در حال انتشار است که به همراه خوب پرونده‌های آلوده دارد، کشف شد.  بسته‌ی سوء‌استفاده‌یRIG، از دو ماه پیش شروع به انتشار کرده است، این بسته‌ی سوء‌استفاده به دنبال آسیب‌پذیری‌های وصله‌نشده از فلش، اینترنت اکسپلورر، جاوا و سیلورلایت می‌گردد و اگر آن‌ها را پیدا کند، برای مهاجم امکان سوء‌استفاده را فراهم می‌کند.
محققان سیسکو دریافتند، بسته‌ی جدید RIG ترافیک بسیار زیادی را اشغال کرده است و به همین دلیل، آن‌ها نزدیک به ۹۰ دامنه را مسدود کردند. سپس مشاهده شد تعداد زیادی از کاربران از طریق مشاهده‌ی تبلیغات به این ۹۰ دامنه آلوده هدایت می‌شوند و متأسفانه تبلیغات در وب‌گاه‌های پربازدیدی مانند فیسبوک وجود دارند.
به محض کلیک روی تبلیغات، کاربر به‌ دامنه‌های آلوده هدایت می‌‌شود و سپس رایانه‌ی قربانی با بسته‌ی سوء‌استفاده‌ی RIG آلوده می‌شود که RIG وظیفه‌ی بارگیری و نصب باج‌افزار را برعهده می‌گیرد. پس از نصب باج‌افزار CryptoWall، این باج‌افزار به دنبال پرونده‌های دیسک سخت کاربر می‌گردد و آن‌ها را رمز می‌کند.
پس از رمز‌نگاری پرونده‌ها، این بدافزار پرونده‌های حاوی دستور‌العمل پرداخت و معرفی باج‌افزار را در هر پوشه‌ای که پرونده‌های آن را رمز‌ کرده است، می‌سازد.

   

این باج‌افزار تا مبلغ ۵۰۰ دلار از کاربران پول درخواست می‌کند و برای پرداخت باید از سرویس مخفی که توسط کارگزار کنترل و فرمان‌دهی که توسط شبکه‌ی ناشناس TOR در دامنه‌های oninio میزبانی می‌شود، آدرس دریافت کند، شیوه‌ای که به‌تازگی در باج‌افزار ویژه‌ی سامانه‌عامل اندورید نیز به‌کار گرفته شده است.
در حال حاضر بیش‌ترین میزان آلودگی‌ها در آمریکا، انگلیس و استرلیا می‌باشد و به نظر می‌رسد مهاجمان از چند تیم نفوذ با یکدیگر همکاری دارند.




فهرست وبلاگ
طبقه بندی
آرشیو
نویسندگان
پیوندها
آمار وبلاگ
  • کل بازدید :
  • بازدید امروز :
  • بازدید دیروز :
  • بازدید این ماه :
  • بازدید ماه قبل :
  • تعداد نویسندگان :
  • تعداد کل پست ها :
  • آخرین بازدید :
  • آخرین بروز رسانی :
جستجو
آخرین پستها
اَبر برچسبها