عملیات توزیع‌کننده باج افزار Locky گونه‎ی Zepto

محققان شرکت امنیتی Cisco Talos هشدار دادند که Zepto که یکی از گونه‌های باج‌افزار معروف Locky است، اخیراً در عملیات توزیعی کشف ‌شده است که شامل بیش از یک میلیون پیام هرزنامه است.

باج‌افزار Locky که برای اولین بار در ماه فوریه کشف شد تنها به دو هفته زمان نیاز داشت تا به یکی از بزرگ‌ترین تهدیدها در دنیای باج‎افزاری تبدیل شود، اما ظاهراً به چند ماه نیاز داشته است تا اولین جانشینش را توزیع کند؛ البته این به این معنا نیست که این باج‌افزار جدید خطر کمتری دارد.

طبق گفته محقق امنیتی شرکت Cisco Talos، وارن مرکر، عملیات کشف این باج‌افزار جدید از روز دوشنبه ۲۷ ژوئن آغاز شد همزمان با این‌که تیم امنیتی این شرکت ۴۰۰۰ هرزنامه کشف کرد. اما این عملیات در چند روز بعدی به‌سرعت رشد کرد به‌طوری‌که در مدت زمان فقط چهار روز تعداد این هرزنامه‌ها به ۱۳۷۷۳۱ رایانامه رسید.

این محقق در ادامه گفت این بدافزار از طریق یک پرونده پیوست شده به شکل zip. توزیع یافته است که در اصل حاوی جاوا اسکریپت مخربی بوده است. با نگاهی دقیق‌تر به این عملیات رایانامه‌ای، در کل ۳۳۰۵ نمونه منحصربه‌فرد که هرکدام پسوند [XXX|XXXX].js را داشته‌اند، کشف شد. در تمامی این پیام‌ها، مجرمان سایبری با استفاده از خطوط موضوعی مختلف و نام‌های مختلف فرستنده از جمله «CEO» و «VP of Sales»، خود را به جای مدیرعامل و یا مدیر فروش شرکت‌ها جا زده و سعی کرده‌‌اند قربانیان را فریب دهند.

متن پیام به‌گونه‌ای است که از کاربران می‌خواهد نگاهی به اسناد فرستاده ‌شده بیندازند. این محقق گفت که در این حملات، متن پیام و سرآیند موضوع اندکی متغیر بوده است.

به‌محض این‌که قربانی پرونده پیوست را باز کند، جاوا اسکریپت مخرب راه‌اندازی می‌شود و از wscript.exe برای راه‌‌اندازی درخواست‌های HTTP GET به یک سری دامنه‌های دستور و کنترل (C&C) از پیش تعیین شده، سوءاستفاده می‌کند. محققان امنیتی Cisco Talos خاطر نشان کردند که برخی از نمونه‌ها تنها به یک دامنه وصل می‌شوند، درحالی‌که دیگر نمونه‌ها به دامنه‌های بیشتری (تا ۹ دامنه) وصل می‌شوند.

هنگامی‌که جاوا اسکریپت راه‌اندازی شد، باینری بارگیری شده مخرب شروع به رمزنگاری پرونده‌های محلی روی پس‌زمینه می‌کند و پسوند zepto. را به آن‌ها می‌افزاید. سپس متن درخواست باج را به کاربر می‌فرستد و از وی می‌خواهد که برای برگرداندن پرونده‌هایش باج را بپردازد. متن درخواست باج هم به شکل یک پرونده HTML و هم به شکل یک تصویر برای قربانی فرستاده می‌شود. همچنین تصویر پس زمینه رایانه وی نیز به این متن تغییر می‌یابد.

محققان گفتند با اینکه نوع حمله مورد استفاده توسط Zepto جدید نیست، اما واضح است که یکی از پرکاربردترین عملیات باج‌افزاری مورد استفاده است. نکته مهم در مورد این عملیات جدید این است که این باج‌افزار جدید رابطه نزدیکی با Locky دارد؛ هر دوی آن‌ها از طریق پرونده‌های JS مخرب توزیع می‎شوند و هر دو پشت پرونده‌های مشابهی پنهان می‌شوند و متن‌های درخواست باجشان نیز مشابه است.

مرکر در پایان گفت: «تا وقتی‌که رایانامه در زندگی هر روزه جا داشته باشد و بتوان فهرست بزرگی از رایانامه‌ها برای ارسال هرزنامه‌ها تهیه کرد، استفاده از این حملات رایانامه‌ای نیز ادامه خواهد داشت. این رخنه‌ها شامل سرقت اطلاعات رایانامه‌ها نیز می‌باشد که به‌طور گسترده‌ای در بازارهای زیرزمینی به متقاضیان این اطلاعات فروخته می‌شوند. کاربران باید مراقب پرونده‌های پیوست شده به رایانامه‌ها باشند و بدین ترتیب می‌توانند تأثیر این عملیات و عملیات هرزنامه‌ای دیگر را خنثی کنند».

با توجه به اینکه عملیات هرزنامه گسترده توسط بات‌نت Necrus اجرا شده است، باج‌افزار Locky از ماه فوریه به بزرگ‌ترین تهدید باج‌افزاری تبدیل ‌شده است. عملیات توزیع نیز توسط کیت بهره‌بردار Nuclear انجام‌ شده است. محققان تخمین زدند که اگر تمامی عملیات موفق بوده باشد و نیمی از قربانیان نیز باج را پرداخته کرده باشند، مهاجمان مبلغ ۱۲۶۵۰۰۰۰ دلار در این عملیات به جیب زده‌اند.

به نظر می‌رسد همان گروهی که پشت تروجان Dridex است، باج افزار Locky را نیز راه‌اندازی می‌کند. در راستای بهبود راه‌های گریز، این باج‎افزار طی دو ماه گذشته به‌روزرسانی‌های بی‌شماری داشته است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.