بد افزار گروگانگیر در سایتهای مشهور

تبلیغات گروگان‌گیر در سایت‌های مشهور

به گفته سیسکو تبلیغات خرابکارانه‌ای در سایت‌های فیس‌بوک، دیزنی، گاردین و برخی سایت‌های دیگر کاربران را به سمت بدافزار گروگان‌گیری که فایل‌های آنان را رمز می‌کند می‌کشاند.

 

سیسکو خبر از تبلیغات خرابکارانه روی دامنه‌های متعلق به دیزنی، فیس‌بوک، روزنامه گاردین و برخی کمپانی‌های دیگر داد که کاربران را گرفتار بدافزاری می‌کنند که فایل‌های کامپیوتر را رمزگذاری می‌کند و تا زمانی که کاربر پول پرداخت نکند، آنها را آزاد نمی‌کند.

تحقیقات سیسکو یک روش پیچیده و مؤثر برای آلوده کردن تعداد زیادی کامپیوتر به بدافزار گروگان‌گیر را کشف کرده است.

سیسکو محصولی به نام Cloud Web Security (CWS) دارد که مشتریانی را که در حال مرور وب هستند نظارت می‌کند و درصورتی‌که بخواهند به دامنه‌های مشکوک وارد شوند، گزارش می‌دهد. CWS روزانه میلیاردها درخواست صفحه وب را نظارت می‌کند.

این شرکت خاطرنشان کرد که برای بیش از 17% از کاربران CWS، درخواست‌های ورودی به 90 دامنه را مسدود کرده است که بسیاری از آنها سایت‌های وردپرس بوده‌اند.

تحقیقات بیشتر نشان داده است که بسیاری از کاربران CWS پس از مشاهده تبلیغات بر روی دامنه‌های پرترافیک مانند apps.facebook.com، awkwardfamilyohotos.com، theguardian.co.uk و go.com، به کار خود پایان داده‌اند.

البته تبلیغات خاص که بر روی این دامنه‌ها مشاهده شده‌اند مورد بررسی قرار گرفته‌اند. چنانچه بر روی این تبلیغات کلیک شود، قربانیان وارد یکی از 90 دامنه ذکر شده می‌شوند.

سبک حمله که تحت عنوان تبلیغ بدافزاری شناخته می‌شود، مدتهاست که به یک مشکل بدل شده است. شبکه‌های تبلیغاتی گام‌هایی را برای تشخیص و شناسایی تبلیغات خرابکارانه که بر روی شبکه آنها قرار می‌گیرد برداشته‌اند، ولی بررسی‌های امنیتی بی عیب نیستند.

به طور معمول تبلیغات خرابکارانه به سراغ وب‌سایت‌هایی می‌روند که از حضور این تبلیغات ناآگاه هستند. کاربران انتظار دارند که زمانی که به سراغ سایت معتبری می‌روند، این سایت قابل اعتماد باشد. اما به علت وجود لینک‌های متعدد به سایت‌های مختلف در عمل اینطور نیست.

90 دامنه‌ای که این تبلیغات خرابکار ترافیک را به سوی آن هدایت می‌کنند نیز هک شده‌اند. در مورد سایت‌های وردپرس به نظر می‌رسد که مهاجمان از حملات brute force برای دسترسی به کنترل پنل سایت استفاده کرده‌اند. سپس یک کیت سوء استفاده به نام Rig اضافه شده است که به سیستم قربانی حمله می‌کند.

کیت سوء استفاده Rig که نخستین بار در ماه آوریل توسط Kahu Security کشف شد، بررسی می‌کند که آیا کاربر از یک نسخه آسیب‌پذیر فلش استفاده می‌کند یا خیر. درصورت مثبت بودن نتیجه، بلافاصله سیستم وی مورد سوء استفاده قرار می‌گیرد.

در مرحله بعدی حمله، یک برنامه گروگان‌گیر به نام Cryptowall نصب می‌شود. این برنامه فایل‌های کاربر را رمز می‌کند و از وی درخواست پول می‌نماید. پیچیدگی این عملیات به این صورت تکمیل می‌شود که وب‌سایتی که کاربر می‌تواند از طریق آن پول را پرداخت کند، یک وب‌سلیا پنهان است که از The Onion Router یا شبکه TOR استفاده می‌کند.

برای دسترسی به این وب‌سایت، کاربر باید TOR را نصب کند که Cryptowall وی را در این مورد راهنمایی می‌کند. کسانی که در پرداخت پول تأخیر کنند، با افزایش مبلغ آن مواجه خواهند شد.

با توجه به استفاده از TOR و زنجیره پیچیده حملات، سیسکو هنوز نتوانسته است مهاجمان پشت این حمله را شناسایی کند.

بد افزار گروگانگیر اندروید

بدافزار کشف شده اولین بدافزار گروگان گیر اندرویدی است که می تواند فایل ها را رمزگذاری نماید.

 

بدافزار گروگان گیر جدیدی توسط محققان ESET کشف شده است که قادر است فایل های ذخیره شده بر روی کارت حافظه SD دستگاه های اندروید را رمزگذاری نماید.

این تهدید جدید با عنوان Android/Simplock.A شناسایی شده است. این اولین گروگان گیری نیست که برای دستگاه های اندروید کشف می شود اما اولین بدافزار گروگان گیری است که می تواند با رمزگذاری فایل ها، آن ها را به عنوان گروگان نگه دارد.

بدافزار Android/Simplock.A کارت SD را به منظور یافتنن فایل با هر پسوندی از تصویر، سند یا ویدئو از قبیل jpeg، jpg، gif، pdf ، doc، txt، avi،mkv ، 3gp ، mp4 اسکن می کند و پس از یافتن فایل ها با استفاده از روش AES آن ها را رمزگذاری می کند. این بدافزار سپس پیامی را به زبان روسی مبنی بر پرداخت 21.40 دلار از طریق سرویس MoneXy برای قربانی ارسال می کند.

استفاده از رمزگذاری برای گروگان نگه داشتن فایل ها روشی است که توسط نیوسندگان بدافزار Cryptolocker ایجاد شده است. Cryptolocker یک برنامه گروگان گیر ویندوز است که بیش از 250000 رایانه را در سه ماهه آخر سال 2013 آلوده کرد.

تهدید جدید در قالب یک برنامه با عنوان "Sex xionix" ظاهر می شود اما این برنامه در گوگل پلی وجود ندارد در نتیجه احتمال توزیع آن بسیار کم است. مساله جالب دیگر در رابطه با این بدافزار آن است که این بدافزار از یک آدرس دامنه C&C با پسوند .onion استفاده می کند. دامنه .onion تنها در درون شبکه Tor برای دسترسی به خدمات پنهان استفاده می شود.