باج‌افزار CryptXXX از Angler به سمت استفاده از کیت بهره‌بردار Neutrino حرکت می‌کند!

کلاهبردارانی که در پشت باج‌افزار دوباره راه‌اندازی شده‌ی CryptXXX ۳.۱۰۰ هستند، ابزار توزیع‎کننده‌ی آن را تعویض کرده و از کیت بهره‌بردار Angler به سمت کیت بهره‌بردار Neutrino رفته‌اند. این تغییر ناگهانی در توزیع را محققان شرکت SANS Internet Storm روز دوشنبه کشف کرده‌اند.
براد دانکن، از شرکت SANS نوشته است: «این اولین باری نیست که ما می‌بینم حملات مربوط به باج‌افزارها مابین کیت Angler و کیت بهره‌بردار Neutrino جابجا می‌شوند». اما او می‌گوید که این تغییر قابل توجه بود چرا که SANS تا به حال ندیده بود که CryptoXXX به وسیله‌ی Neutrino جابجا شود.

این حرکت در حالی رخ می‌دهد که کارشناسان امنیت اطلاعات گزارش داده‌اند که باج‌افزار CryptXXX شروع به تجدید حیات خود کرده و اخیراً با یک الگوریتم رمزنگاری جدید و یک ماژول سرقت اعتبارنامه‌ی StillerX به تقویت خود پرداخته است و در نتیجه به مهاجمان قابلیت‌های دیگری برای کسب درآمد در حملات خود می‌دهد.
دانکن گفته است که گروه‌هایی که در پشت کیت بهره‌بردار Angler هستند، باج‌افزار CryptXXX را بسیار محکم قرار می‌دهند، اما در چند روز گذشته ما هیچ نمونه‌ای از کیت Angler مشاهده نکرده‌ایم که حاوی بار داده‎ی CryptXXX باشد.

کیت بهره‌بردار Neutrino دارای این مشخصه است که به اهداف خود در محیط‌های Java runtime Environment که شامل نسخه‌های مختلف جاوا هستند، حمله می‌کند. دانکن نوشته است: «ماه گذشته کیت Neutrino مشاده شده است که با استفاده از بهره‌برداری فلش در آسیب‌پذیری CVE-۲۰۱۶-۴۱۱۷ که بر ادوبی فلش پلیر تا نسخه‌ی ۲۱.۰.۰.۲۱۳ مؤثر است، به اهداف خود حمله می‌کند.»
کیت Angler به طور معمول به دنبال این است تا به رایانه‌ها با استفاده از آسیب‌پذیری‌های جاوا و فلش پلیر و همچنین افزونه‌ی مایکروسافت سیلورلایت حمله کند.

به گفته‌ی دانکن،‌ روز دوشنبه او مشاهده کرده است که یک حمله‌ی pseudo-Darkleech با استفاده از کیت بهره‌بردار Neutrino برای قرار دادن باج‌افزار CryptXXX انجام شده است. روز سه‌شنبه، دانکن گزارش داد که حتی حملاتی بدتر از آن را نیز مشاهده کرده است و وب‌گاهی را یافته که هم مورد حمله‌ی pseudo-Darkleech و هم حمله‌ی ElTest قرار گرفته‌اند. در هر دو مورد، وب‌گاه‌های آلوده باج‌افزار CryptXXX را به عنوان پرونده DLL که یا به نام ۲۰۱۶-۰۶-۰۷-EITest-Neutrino-EK-payload-CryptXXX.dll و یا به نام ۲۰۱۶-۰۶-۰۷-pseudoDarkleech-Neutrino-EK-payload-CryptXXX.dll اسم گذاری شده‌اند،‌ منتشر می‌کنند.

دانکن در یادداشت خود برای تشریح یافته‌هاییش می‌نویسد: «من قادر بودم تا برای هر کدام از حملات ترافیک را تولید کنم، اما من باید دو بار به صورت جداگانه بازدید انجام می‌دادم، زیرا اسکریپت pseudo-Darkleech اجازه نمی‌دهد تا اسکریپت ElTest هیچگونه ترافیکی را ایجاد کند».
دانکن می‌گوید، مادامی که الگوهای ترافیک بهره‌بردار Neutrino، سازگار باقی بمانند، تنها تغییر این است که اکنون کیت بهره‌بردار به درگاه ۸۰ TCP می‌چسبد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

[easy-pricing-table id="6835"]