هشدار Symantec درباره رایانامه‌هایی که از پرونده‌های مخرب WSF‌ استفاده می‌کنند

۳متخصصان امنیتی سیمانتک می‌گویند افزایش قابل توجهی را در تعداد حملات مبتنی بر رایانامه مشاهده کرده‌اند که در آن‌ها از پرونده‌های مخرب WSF۱ به عنوان ضمیمه استفاده می‌شود. سیمانتک می‌گوید طی ۳ ماه گذشته، مهاجمان به‌خصوص سازمان‌های خرابکارانه‌ای که در پویش‌های باج‌افزار فعالیت دارند از این روش استفاده کرده‌اند. «طی دو هفته گذشته، سیمانتک تعداد زیادی پویش توزیع‌کننده‌ی باج‌افزار Locky را که شامل پرونده‌های WSF مخرب بوده‌‌اند، مسدود کرده است.»

WSF یک نوع پرونده است که اجازه می‌دهد زبان‌های اسکریپت‌نویسی مانند پایتون، Jscript و VBScript در قالب یک پرونده ترکیب شوند. پرونده‌های WSF توسط میزبان اسکریپت ویندوز۲ (WSH)، همانند یک پرونده اجرایی معمولی باز و اجرا می‌شوند.
سیمانتک می‌گوید پرونده‌های .wsf در برخی برنامه‌های رایانامه به‌طور خودکار مسدود نمی‌شوند. این اواخر مجرمانی مشاهده شده‌اند که از این ویژگی برای توزیع باج‌افزار Locky‌ استفاده کرده‌اند.

سیمانتک در ادامه می‌گوید در ۳ و ۴ اکتبر، بیش از ۱.۳ میلیون رایانامه‌ که عنوان «برنامه سفر» داشته‌اند، مسدود کرده است. در این پویش، نفوذگران مدعی بوده‌اند که از یک خط هواپیمایی اصلی رایانامه را ارسال می‌کنند. این رایانامه‌ها شامل یک پرونده WSF در قالب یک پرونده zip‌. بودند. این شرکت امنیتی می‌گوید در تاریخ ۵ اکتبر همان عامل مخرب اقدام به ارسال هرزنامه‌هایی با عنوان «نامه شکایت» کرده است. « سیمانتک ۹۱۸ هزار مورد از این رایانامه‌ها را مسدود کرده است. این رایانامه‌ها در ظاهر از سوی فردی ارسال شده بودند که درباره پرونده‌ی ارسال‌شده از سوی صاحبان رایانامه شکایت داشته است. این هرزنامه‌ها هم شامل پرونده WSF درون پرونده zip. بودند. اگر کاربر پرونده WSF را اجرا کند، باج‌افزار Locky بر روی رایانامه قربانی نصب می‌شود.»

متخصصان امنیتی سیمانتک معتقدند استفاده از پرونده‌های WSF. روند گسترده‌تری خواهد یافت. «تحلیل‌های موجود نشان می‌دهند رایانامه‌هایی که شامل این پرونده‌ها بوده‌اند از ۲۲ هزار مورد در ماه ژوئن، به ۲ میلیون مورد در ماه جولای رسیده‌اند. در ماه سپتامبر نیز این رکورد شکسته شده و ۲.۲ میلیون رایانامه شامل این پرونده‌ها مسدود شدند.»
مجرمان سایبری اغلب اوقات از روش‌های جدید استفاده کرده و قالب ضمیمه‌های مخرب خود را تغییر می‌دهند تا شناسایی نشوند.
۱. Windows Script File
۲. Windows Script Host

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.