باج‌افزار Locky هنوز هم کاربران را با جاوا اسکریپت به دام می‌اندازد، حملاتی موفق!

باج‌افزار Locky یکی از خانواده‌های باج‌افزاری رایج است که کاربران بسیاری را در سرتاسر دنیا به دام می‌اندازد. این باج‌افزار سازوکار توزیع خود را ارتقاء داده و اکنون از طریق پرونده‌های جاوا اسکریپت پیوست شده به هرزنامه‌ها توزیع می‌شود.

چند ماه است که این باج‌‌افزار از پیوست‌های جاوا اسکریپت برای انجام اهدافش استفاده می‌کند، اما نه‌تنها خود پرونده‌ی باینریِ Locky بلکه این پرونده‌های مخرب نیز کاربران را به دام سامانه‌های آلوده می‌اندازند. طرز کار این باج‌افزار زمانی تغییر کرد که هفته گذشته موج جدیدی از رایانامه‌های مخرب مستقیماً حاوی باج‌افزار Locky بودند.

طبق گزارش محققان CYREN، هرزنامه‌ها در این عملیات از عنوان Invoice (صورت‌حساب) استفاده کرده‌‌اند که برای توزیع بدافزارها بسیار مناسب است. علاوه بر این، محققان متوجه شدند در این عملیات نیز از فرمت‌هایی برای نام‌گذاری پرونده‌های پیوست شده استفاده ‌شده که در حملات Locky پیشین نیز مورد استفاده بوده‌‌‌اند.

آنچه در رابطه با پرونده‌ها تغییر کرده است، اندازه پرونده ZIP. است که در مقایسه با پیوست‌های مخرب حاوی باج‌افزار Locky قبلی، به بیش از KB ۲۵۰ رسیده است. اگرچه همانند قبل، آرشیو ZIP. حاوی پرونده جاوا اسکریپتی است که از همان مبهم‌سازی کد قبلی استفاده می‌کند.

محققان CYREN گفتند: «بارگذاری جاوا اسکریپت درون یک ویرایش‌گر نیز نشان‌دهنده استفاده از گونه‌های متعدد حاوی رشته‌هایی است که زمان ساخت رشته‌های مورد نیاز مثل نام‌ها و روش‌های ActiveXObject به هم می‌پیوندند. حتی رمزنگاری دودویی معمول نیز در دسته این نوع باج‌افزار قرار می‌گیرد».

برخلاف گونه‌های قبلی، در این عملیات مجموعه‌‌ بزرگی از گزینه‌های مرتب به‌هم‌ پیوسته مشاهده‌ شده است. این گونه‌های به‌هم‌ پیوسته جایی قرار دارند که پرونده‌ی دودوییِ باج‌افزار Locky رمزنگاری‌شده ذخیره‌ شده است. پیش‌ از این که این باج‌افزار اجرا شود، این پرونده‌ رمزنگاری و روی دیسک ذخیره می‌شود.

دیگر نویسندگان بدافزارها مدت‌ زمان بسیاری است که برنامه‌های مخربشان را درون اسکریپت‌ها جایگذاری می‌کنند، بنابراین خیلی عجیب نیست که Locky نیز از این روش استفاده کرده باشد. اگرچه پیش ‌از این مشاهده ‌شده که این باج‌افزار ترجیح می‌دهد از ماکروهای مخرب در اسناد آفیس استفاده کند که از طریق هرزنامه‌های تقویت ‌شده با بات‌نت Necrus توزیع می‌شوند. این باج‌افزار همچنین مدتی پیش شروع به استفاده از جاوا اسکریپت تنها برای فریب کاربران کرد و باز هم از کیت بهره‌بردار Nuclear برای توزیع خود استفاده می‌کند.

رمزگشایی این پرونده در مصرف CPU توسط wscript.exe قابل تشخیص است. پس از رمزگشایی، پرونده قابل ‌اجرا در مسیر Temp با یک نام کدگذاری شده تصادفی در جاوا اسکریپت ذخیره می‌شود. این باج‌افزار سپس با یک شناسه ۳۲۱ اجرا می‌شود.

این‌گونه باج‌افزاری Locky پرونده‌های رمزنگاری‌شده را با پسوند zepto. نام‌گذاری می‌کند. این‌گونه پیش ‌از این یک نسخه باج‌افزاری جداگانه در نظر گرفته می‌شد. طبق گفته محققان CYREN، نویسندگان این باج‌افزار تنها تغییراتی در کد باج‌افزار ایجاد کرده‌اند تا بتوانند از پسوند پرونده جدید استفاده کنند.

به‌محض اینکه فرآیند رمزنگاری انجام شد، Locky عکس پس‌زمینه دسکتاپ را با متن درخواست باج عوض می‌کند و صفحه دستورالعمل پرداخت باج که قبلاً روی دسکتاپ کاربر قرار می‌گرفت را باز می‌کند. لینک‌های Tor داده‌ شده، قربانی را مستقیماً به صفحه رمزگشای Locky هدایت می‌کند.

محققان در پایان افزودند: «مانند همیشه، به کاربران توصیه می‌کنیم که اگر می‌خواهند از چنین حملاتی در امان باشند، از باز کردن هرگونه پرونده‌‌ی پیوست شده از منابع نامعتبر خودداری کنند. شرکت‌ها با این کار نیز می‌توانند از سازمانشان دفاع کرده و بازده اقتصادی مجرمان سایبری را کاهش دهند».

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap