سوءاستفاده باج‌افزار cuteRansomware از Google Docs به عنوان کارگزار کنترل و فرمان‌دهی

محققان حوزه امنیت به تازگی کشف کرده‌اند که یک باج‌افزار به نامِ cuteRansomware با سوءاستفاده از Google Docs‌ شرکت گوگل، اقدام به فروش اطلاعات مربوط به برخی کاربران می‌کند.
منبع طراحی این بدافزار به ظاهر از یک آزمایش باج‌افزاری است که متأسفانه چند ماه پیش به طرز ناشیانه‌ای در سرویس میزبانی وب گیت‌هاب پخش شد.
چند ماه پیش، آزمایشی تحت عنوان my-Little-Ransomware انجام شد که بنا به اظهارات طراح چینی آن، یک آزمایش باج‌افزاری بر اساس زبان برنامه‌نویسی #C است.

همان‌گونه که در گذشته شاهد افشا شدن کدهای پروژه‌های Hidden Tear و EDA۲ توسط اوتکو سن، محقق ترک‌تبار حوزه امنیت بودیم، این بار نیز جاسوسان با سرعت عمل خاص خود اقدام به سوءاستفاده از کدهای پروژه my-Little-Ransomware کرده و نسخه‌هایی از باج‌افزار ساخت خود را طراحی و منتشر کردند. اولین نسخه‌های این باج‌افزار در اواسط ماه ژوئن توسط جیکوب کروستک، محقق حوزه امنیت شرکت AVG مشاهده شد. وی بلافاصله اعلام کرد که این باج‌افزار با سوءاستفاده از بخش Google Docs شرکت گوگل، اقدام به فروش کلیدهای رمزنگاری می‌کند.
چند روز بعد، شرکت امنیتی Netskope نیز گزارش داد که یک نوع متفاوت از این باج‌افزار را مشاهده کرده است که بر اساس پروژه my-Little-Ransomware سرویس گیت‌هاب پخش شده است. این شرکت، نوع کشف‌شده را به دلیل استفاده جاسوسان از زنجیره cuteRansomware در تمامی کدهای مربوط به این نسخه، cuteRansomware نامید. همچنین گزارش‌هایی مبنی بر مشاهده این نسخه در اواسط ماه ژوئن مخابره شده بود.
محققان از ابتدای فرآیند کار خود برای شناسایی این باج‌افزار، مشاهده کردند که توضیحات کد این باج‌افزار به زبان چینی نوشته‌ شده است و بنابراین یادداشت باج‌خواهی نیز قطعاً به زبان چینی نوشته‌ شده است. این باج‌افزار در ابتدای تحقیقات محققان تنها یک مدل توزیعی ساده بود و فقط کاربران چینی را مورد حمله قرار می‌داد.
پس از تحقیقات بیشتر و دقیق‌تر در مورد کدها مشخص شد که نوع جدید این باج‌افزار همانند نوع کشف‌ شده توسط شرکت AVG، از بخش Google Docs شرکت گوگل به عنوان کارگزار کنترل و فرمان‌دهی خود استفاده می‌کند.
در ادامه تحقیقات مشخص شد که باج‌افزار cuteRansomware رایانه‌ها را آلوده می‌کند و با طراحی کلید رمزنگاری (۱)RSA و سپس ارسال این کلید به بخش Google Docs با استفاده HTTPS، فعالیت‌های خرابکارانه خود را پیش می‌برد.

محققان همچنین خاطرنشان کردند که این نسخه در مقایسه با نسخه اصلی پروژه سرویس گیت‌هاب، تعداد کمتری از پرونده‌ها را رمزنگاری می‌کند. این ویژگی در نوع خود عجیب است، زیرا باعث کاهش قدرت باج‌افزار در تخریب پرونده‌های سامانه می‌شود.
یکی از ویژگی‌هایی که کاربران با استفاده از آن می‌توانند به حمله این نوع باج‌افزار به سامانه‌های خود پی ببرند، این است که هیچ‌گونه تصویر باج برای آن‌ها به نمایش در نمی‌آید. این باج‌افزار تنها یک پرونده متن بالاپر را به همراه یادداشت باج‌خواهی نمایش می‌دهد. ویژگی دیگر این باج‌افزار این است که پسوند «.encrypted» را به زبان چینی به نام پرونده‌های رمزنگاری‌شده اضافه می‌کند.
اومش وانو، یکی از کارمندان شرکت Netskope‌ در این‌باره اذعان کرد: «هم‌اکنون که در حال گفتگو هستیم، فعالیت‌های این باج‌افزار در بخش Google Docs گوگل قابل ‌مشاهده است و ما اخبار لازم در این مورد را به این شرکت مخابره کرده‌ایم.»
بدافزاری که طی این فرآیند کارگزارهای کنترل و فرمان‌دهی را در قالب خدمات ابری پنهان می‌کند، هنوز شناسایی نشده است. شرکت FireEye دسامبر گذشته یک تروجان با نام LOWBALL را کشف کرد که سامانه Dropbox‌ را به عنوان کارگزار کنترل و فرمان‌دهی خود انتخاب کرده بود.

۱. روش رمزنگاری مبتنی بر کلید عمومی

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.