فراخوانی کریپتولاکر توسط بسته‌های نفوذی به واسطه‌ی آسیب‌پذیری‌های فلش‌بوت‌ها

نوشته شده در تاریخ توسط published

مجرمانی که پشت بسته‌های نفوذی Neutrino و RIG هستند، حملاتی را با استفاده از جدیدترین باج‌افزار علیه کاربرانی که آخرین وصله‌های امنیتی ادوبی فلش را نصب نکرده‌اند صورت داده‌اند.

این آسیب‌پذیری‌ها که با ارائه‌ی اصلاحیه‌هایی پوشش داده شده است، موجب اجرای کدهای از راه دور شده و به مهاجمان اجازه می‌دهد که با استفاده از بسته‌های نفوذی خطرناک دستگاه‌های کاربران را به خطر بیاندازند.

دو بسته‌ی نفوذی ذکرشده در بالا در نمودار رده‌بندی بسته‌هایی که با استفاده از آسیب‌پذیری‌های فلش به کاربران لطمه می‌زنند در بالاترین جایگاه قرار دارند. هنگامی که مقامات صلاحیت‌دار توجه چندانی به این امور نمی‌کنند، خساراتی که به صنعت وارد می‌آید بسیار بزرگ است.

Neutrino اکنون توسط باج‌افزار Cryptolocker ۲ و یا crypt۰l۰cker، چنان‌که توسط مجرمان از آن‌ها یاد می‌شود و گونه‌ای از خانواده‌ی بدافزار Kovter با بهره‌برداری از آسیب‌پذیری (CVE-۲۰۱۵-۷۶۴۵) جهت ضربه زدن به قربانی مورد استفاده قرار می‌گیرد.

Andra Zaharia، یکی از محققان امنیتی می‌گوید: «این نبرد تازه امروز آغاز شده است و در آن کدهای اسکریپت مخرب درون یک وب‌گاه قانونی تزریق می‌شود.»

در این نبرد جدید ترفندهای پنهانی جدیدی مورد استفاده قرار می‌گیرد: «در اینجا Google Blackhat بهینه‌ساز موتورهای جست‌وجوی گوگل آلوده می‌شود و ناگهان تمرکز فوری بر آسیب‌پذیری فلش‌پلیر جهت توزیع حمله صورت می‌گیرد.»

اکنون این بسته‌ی نفوذی این قابلیت را دارد که تشخیص دهد مرورگرها و فلش‌پلیر نصب‌شده آسیب‌پذیر هستند و فراتر از تشخیص ضدبدافزارهای سامانه‌ی عامل حرکت کند.

رقیب آن RIG با هدف قرار دادن عناوین دیگر محصولات شرکت ادوبی از جمله آکروبات ریدر، فلش و به همراه سیلورلایت با گسترش آلودگی از طریق Google SEO  فعالیت می‌کند.

بیش از نیمی از رایانه‌های شخصی که از ویندوز ۷ استفاده کرده و اینترنت اکسپلورر ۹ را اجرا می‌کنند در هنگام مواجهه با RIG در صورت وجود آسیب‌پذیری‌های فلش CVE-۲۰۱۵-۵۱۲۲ و CVE-۲۰۱۵-۵۱۱۹ گرفتار می‌شوند.

علاوه بر این محققان سیسکو یک حمله‌ی جدید RIG را شناسایی کرده‌اند که صدها و بلکه هزاران قربانی را در حملات بسته‌ی نفوذی گرفتار می‌کند.

Nick Biasini یکی از محققان امنیتی می‌گوید که در این مورد به یک تروجان قدیمی بوت به جای استفاده از یک باج‌افزار جدید ارجاع داده می‌شود.

سیسکو به یک میزبان ارائه‌دهنده‌ی Eurobyte دخیل در این کار نزدیک شده است و در پی آن زیرمجموعه‌ی نشانیهای آن را پس از این‌که به درخواست پایین کشیدن زیرساخت‌های RIG پاسخ نداده است، مسدود نموده است.

Biasini می‌گوید Angler که به طور گسترده‌ای به عنوان مهم‌ترین ابزار نفوذی در نظر گرفته می‌شود، از پایان سال گذشته در یک «تعطیلات موقت» به سر می‌برد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.