محققان حوزه امنیت به تازگی کشف کردهاند که یک باجافزار به نامِ cuteRansomware با سوءاستفاده از Google Docs شرکت گوگل، اقدام به فروش اطلاعات مربوط به برخی کاربران میکند.
منبع طراحی این بدافزار به ظاهر از یک آزمایش باجافزاری است که متأسفانه چند ماه پیش به طرز ناشیانهای در سرویس میزبانی وب گیتهاب پخش شد.
چند ماه پیش، آزمایشی تحت عنوان my-Little-Ransomware انجام شد که بنا به اظهارات طراح چینی آن، یک آزمایش باجافزاری بر اساس زبان برنامهنویسی #C است.
همانگونه که در گذشته شاهد افشا شدن کدهای پروژههای Hidden Tear و EDA۲ توسط اوتکو سن، محقق ترکتبار حوزه امنیت بودیم، این بار نیز جاسوسان با سرعت عمل خاص خود اقدام به سوءاستفاده از کدهای پروژه my-Little-Ransomware کرده و نسخههایی از باجافزار ساخت خود را طراحی و منتشر کردند. اولین نسخههای این باجافزار در اواسط ماه ژوئن توسط جیکوب کروستک، محقق حوزه امنیت شرکت AVG مشاهده شد. وی بلافاصله اعلام کرد که این باجافزار با سوءاستفاده از بخش Google Docs شرکت گوگل، اقدام به فروش کلیدهای رمزنگاری میکند.
چند روز بعد، شرکت امنیتی Netskope نیز گزارش داد که یک نوع متفاوت از این باجافزار را مشاهده کرده است که بر اساس پروژه my-Little-Ransomware سرویس گیتهاب پخش شده است. این شرکت، نوع کشفشده را به دلیل استفاده جاسوسان از زنجیره cuteRansomware در تمامی کدهای مربوط به این نسخه، cuteRansomware نامید. همچنین گزارشهایی مبنی بر مشاهده این نسخه در اواسط ماه ژوئن مخابره شده بود.
محققان از ابتدای فرآیند کار خود برای شناسایی این باجافزار، مشاهده کردند که توضیحات کد این باجافزار به زبان چینی نوشته شده است و بنابراین یادداشت باجخواهی نیز قطعاً به زبان چینی نوشته شده است. این باجافزار در ابتدای تحقیقات محققان تنها یک مدل توزیعی ساده بود و فقط کاربران چینی را مورد حمله قرار میداد.
پس از تحقیقات بیشتر و دقیقتر در مورد کدها مشخص شد که نوع جدید این باجافزار همانند نوع کشف شده توسط شرکت AVG، از بخش Google Docs شرکت گوگل به عنوان کارگزار کنترل و فرماندهی خود استفاده میکند.
در ادامه تحقیقات مشخص شد که باجافزار cuteRansomware رایانهها را آلوده میکند و با طراحی کلید رمزنگاری (۱)RSA و سپس ارسال این کلید به بخش Google Docs با استفاده HTTPS، فعالیتهای خرابکارانه خود را پیش میبرد.
محققان همچنین خاطرنشان کردند که این نسخه در مقایسه با نسخه اصلی پروژه سرویس گیتهاب، تعداد کمتری از پروندهها را رمزنگاری میکند. این ویژگی در نوع خود عجیب است، زیرا باعث کاهش قدرت باجافزار در تخریب پروندههای سامانه میشود.
یکی از ویژگیهایی که کاربران با استفاده از آن میتوانند به حمله این نوع باجافزار به سامانههای خود پی ببرند، این است که هیچگونه تصویر باج برای آنها به نمایش در نمیآید. این باجافزار تنها یک پرونده متن بالاپر را به همراه یادداشت باجخواهی نمایش میدهد. ویژگی دیگر این باجافزار این است که پسوند «.encrypted» را به زبان چینی به نام پروندههای رمزنگاریشده اضافه میکند.
اومش وانو، یکی از کارمندان شرکت Netskope در اینباره اذعان کرد: «هماکنون که در حال گفتگو هستیم، فعالیتهای این باجافزار در بخش Google Docs گوگل قابل مشاهده است و ما اخبار لازم در این مورد را به این شرکت مخابره کردهایم.»
بدافزاری که طی این فرآیند کارگزارهای کنترل و فرماندهی را در قالب خدمات ابری پنهان میکند، هنوز شناسایی نشده است. شرکت FireEye دسامبر گذشته یک تروجان با نام LOWBALL را کشف کرد که سامانه Dropbox را به عنوان کارگزار کنترل و فرماندهی خود انتخاب کرده بود.
۱. روش رمزنگاری مبتنی بر کلید عمومی
منبع: asis
درباره نماد امنیت وب
“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.