سوءاستفاده باج افزار Locky از فرم‌های آسیب‌پذیر PHP به منظور توزیع هرزنامه

نوشته شده در تاریخ توسط published

محققان حوزه امنیت به تازگی خبر از کشف یک باج‌افزار با نام Locky می‌دهند که طراحان آن با استفاده از اشکالات امنیتی در اسکریپت‌های PHP تبدیل وب به رایانامه، بدافزار خود را وارد سامانه کاربران می‌کنند.

نکته‌ای که در مورد این باج‌افزار قابل‌توجه است، این است که تنها ۵۰ درصد کاربران مورد حمله باج‌افزارها، هزینه‌های درخواستی این نوع از بدافزارها را پرداخت می‌کنند و تنها ۱۰ درصد از افراد دریافت‌کننده رایانامه‌های مخرب و دارای این بدافزارها، آلوده می‌شوند. به همین دلیل است که طراحان باج‌افزارها در بیشتر موارد به بن‌بست بر می‌خورند.

کاربران باید توجه داشته باشند که در صورت انجام فعالیت‌های گسترده در اینترنت، همواره در معرض خطر حملات این‌چنینی هستند و طراحان باج افزار Locky طی هر هفته بیش از هزاران هرزنامه را برای رسیدن به اهداف خود در فضاهای اینترنتی پخش می‌کنند. نکته مهم دیگر که کاربران باید بدانند این است که طراحان چنین باج‌افزارهایی همواره به دنبال کاهش هزینه‌های اقدامات خود و در عین حال افزایش درآمدهای غیرقانونی خود از این راه هستند و در این مسیر از هیچ اقدامی فروگذار نخواهند کرد.

کارمندان بخش OpenDNS شرکت سیسکو طی تحقیقات خود اعلام کردند که طراحان این باج‌افزار طی یک پویش هرزنامه‌ای در اواسط ماه جولای، یک آسیب‌پذیری را در بخش خدماتی PHP مربوط به تبدیل وب به رایانامه کشف کردند. این تحقیقات نشان می‌دهد که طراحان این بدافزار با سوءاستفاده از کارگزار کاربران، اقدام به انجام حملات باج‌افزاری خود می‌کرده‌اند. این آسیب‌پذیری برای طراحان باج‌افزار Locky این امکان را فراهم کرده است تا با انجام حملات فراگیر۱ در فرم‌های وب‌ها، به ارسال پیام دارای بار داده Locky به یک نشانی رایانامه‌ای متفاوت با نشانی منظور شده و اصلی درج شده در فرم وب‌گاه اقدام کنند.

براد آنتونیویس،‌ محقق بخش OpenDNS شرکت سیسکو که پویش هرزنامه‌ای این باج افزار و نحوه عمل آن را شناسایی کرد، در این خصوص اعلام کرد که مسئله اصلی در این شرایط، وجود یک آسیب‌پذیری در اسکریپت PHP مربوط به فرم تماس در صفحه‌ی ارتباط با ما بوده است.

نکته مهم در خصوص این آسیب‌پذیری این است که این آسیب‌پذیری قبلاً کشف شده و در محصولات دیگر نیز مشاهده شده است، اما تاکنون در مورد اسکریپت‌های PHP گزارشی از وجود این آسیب‌پذیری مخابره نشده بود.

آنتونیویس در این خصوص اذعان داشت: «ما هیچ‌گونه گزارش عمومی را در خصوص این آسیب‌پذیری در PHP مربوط به فرم‌های وبگاه‌ها مشاهده نکرده بودیم. برای بررسی بیشتر موضوع با پیداکردن برخی فروشندگان، در صدد پیداکردن برخی اطلاعات تماس کاربران بودیم، اما تا به امروز این تلاش‌ها بی‌نتیجه بوده است و امروز تصمیم این شرکت این است که در مورد برنامه‌های دارای این آسیب‌پذیری تحقیقات بیشتر صورت نگیرد. در عین حال به نظر می‌رسد به‌روزرسانی جدیدترین نسخه PHP تبدیل وب به رایانامه، می‌تواند این مشکل را رفع کند.»

۱. Brute-force attacks

        منبع: asis

        درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.