باج‎افزار Cerber با ویژگی اسکریپتی جدید

یک کمپین رایانامه‌ای که به توزیع باج‌افزار رمزنگار Cerber کمک می‎کرد، توسط محققان امنیتی Forcepoint ردیابی شد. استفاده از پرونده‎های اسکریپت‎ ویندوز (WSFها) این عملیات را از نمونه‌های قبلی متفاوت می‌کند.
WSF ها با wscript.exe ویندوز قابل اجرا هستند و از هر موتور اسکریپت‎نویسی در یک پرونده به دست می‌آید. پس از اجرای موفق پرونده، باج‎افزار cerber روی سامانه‌ی قربانی بارگیری خواهد شد.
طبق پستی در وبلاگ sensecy، باج‌افزار cerber که به عنوان یک باج‌افزار به عنوان سرویس (RaaS ) شناخته می‌شود توسط یک گروه زیرزمینی روسی توزیع شده است. نیکولاس گرینین، محقق امنیتی ForcePoint در وبلاگش گفت که این باج‎افزار قبلاً با استفاده از کیت‌های بهره‎برداری یا با استفاده از رایانامه‌ها و پرونده‎های متنی فعال شده با ماکرو، توزیع می‌شدند. اما این اولین بار است که از WSFها برای چنین هدفی (توزیع باج‎افزار) استفاده شده است.

مهاجمان، قربانیان را تشویق به بارگیری بدافزار از دو روش می‌کنند. بارگیری یک پرونده ۲بار-زیپ شده حاوی یک WSF که به رایانامه‌ای مخرب پیوست شده که یک پیوند لغو اشتراک در پایین رایانامه‌ وجود دارد که به همان پرونده‎ی زیپ پیوند داده شده است.
علاوه بر این، به علت استفاده نامعمول از یک پرونده‎ای که دوبار زیپ شده و حاوی WSF است، با استفاده از محتوای به ظاهر واقعی و اصلی و یک پیوند لغو اشتراک، ممکن است باج‎افزار بتواند راه‎حل‌های امنیتی کشف کننده باج‎افزار را دور بزند.

Cerber توانایی رمزنگاری بدون برقراری ارتباط با کارگزارهای C&C را دارد، اما گرینین می‌گوید که Forcepoint ضعفی در اجرای رمزنگاری توسط این باج‎افزار پیدا کرده است که با استفاده از آن می‌توان قفل پرونده‎ها را باز کرد.
گرینین گفت: «اگرچه تعداد قربانیان این باج‎افزار اندک است، اما در حال حاضر عمده‌ی آن‌ها در انگلستان هستند و با گذر زمان احتمالاً تعداد قربانیان نیز افزایش می‌یابد».

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.