بات‌نت Kelihos شروع به توزیع باج‌افزار کرده است

۱محققان امنیتی می‌گویند بات‌نت Kelihos در حال تغییر روش خود به توزیع باج‌افزارها در رایانه‌های قربانیان بوده و در حال حاضر نیز خانواده بدافزار Troldesh را توزیع می‌کند.

طی ۸ سال گذشته بات‌نت Kelihos دوام آورده و بارها تلاش‌های محققان را برای نابودی با شکست مواجه کرده است. دو مورد از این تلاش‌ها در سپتامبر ۲۰۱۱ و مارس ۲۰۱۲ رخ دادند. در طول زمان، این بات‌نت توسط مهاجمان بسیاری در جهت اهداف خرابکارانه مختلف از جمله پویش‌های هرزنامه و توزیع باج‌افزارهایی ازجمله MarsJoke و Wildfire مورداستفاده قرار گرفته است.

در آگوست سال جاری، محققان امنیتی اعلام کردند مهاجمان در حال استفاده از این بات‌نت در کنار سایر بات‌نت‌ها، در جهت توزیع باج‌افزارها و تروجان‌های بانکی هستند. پس از آن و در سپتامبر سال جاری این بات‌نت در حال توزیع تروجان‌هایی همچون Panda Zeus ،Nymain و Kronos مشاهده شد. در حال حاضر نیز متخصصان امنیتی می‌گویند این بات‌نت بار دیگر در جهت توزیع باج‌افزارها به کار گرفته شده است.

این بار Kelihos از طریق هرزنامه‌هایی که حاوی پیوندی به یک پرونده جاوا اسکریپت و یک سند مایکروسافت ورد است، باج‌افزار Troldesh را توزیع می‌کند. به گفته آرش آرورا، تحلیلگر بدافزار و دانشجوی دکتری دانشگاه آلاباما در بیرمنگام، این نخستین باری است که بات‌نت مذکور از پرونده‌های جاوا اسکریپت برای آلوده کردن کاربران استفاده می‌کند.

بدافزار مذکور پرونده‌های کاربر را رمزنگاری کرده و پسوند no_more_ransom. را به آن‌ها می‌افزاید. این پسوند جدید توسط مهاجمان کنایه‌ای به پروژه NoMoreRansom محسوب می‌شود. این پروژه در اکتبر سال جاری، توسط آزمایشگاه کسپرسکی، بخش امنیتی اینتل و گروهی دیگر از مقامات از جمله پلیس اروپا کلید خورد تا به قربانیان باج‌افزارها کمک‌های عملی بدهد.

کارشناسان امنیتی می‌گویند پویش توزیع Troldesh آدرس‌های رایانامه‌ای را هدف قرار می‌دهد که با «au.» خاتمه می‌یابند. این بدان معناست که احتمالاً فقط کاربران استرالیایی این باج‌افزار را دریافت کرده‌اند. به‌طور هم‌زمان بات‌نت مذکور هرزنامه‌های دوست‌یابی برخط را برای آدرس‌های رایانامه با پسوند «pl.» و هرزنامه‌های مالی را برای کاربران با آدرس رایانامه «us.» ارسال می‌کند. متخصصان امنیتی می‌گوید این با‌ت‌نت همچنین هرزنامه‌هایی را با مضمون دارویی برای کاربران کشورهای مختلف ارسال می‌کند.

پیام‌های هرزنامه مرتبط با باج‌افزار Troldesh خود را در قالب Bank of America جا زده و کاربر را تشویق می‌کنند پیشنهاد مالی جعلی را که در پرونده پیوست رایانامه آمده است باز کند. به‌محض باز کردن پرونده پیوست، بدافزار Troldesh بر روی رایانه کاربر بارگیری می‌شود. پس از رمزنگاری پرونده‌های کاربر، یک یادداشت باج‌خواهی (به هر دو زبان روسی و انگلیسی) بر روی دسکتاپ ظاهر می‌شود. در این یادداشت آمده است که به‌منظور رمزگشایی پرونده‌ها، قربانی می‌بایست با آدرس جیمیل نویسندگان باج‌افزار ارتباط گرفته و دستورات لازم را دریافت کند. در این یادداشت همچنین اطلاعاتی درباره نحوه بارگیری و استفاده از Tor آمده است.

متخصصان امنیتی می‌گویند Troldesh بدافزارهای دیگری را نیز بر روی سامانه‌های آلوده شده بارگیری کرده و با کارگزار دستور و کنترل خود در آدرس مشخصی ارتباط می‌گیرد. آن‌ها می‌گویند باج‌افزار مذکور بدافزار سارق اطلاعات Pony را بر روی رایانه قربانی بارگیری می‌کند تا اطلاعات حساسی را نیز به سرقت ببرد.
Kelihos بارها محققان را شگفت‌زده کرده و به اعتقاد کارشناسان امنیتی ردیابی فعالیت این بات‌نت ضروری است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.