وب‌گاه‌های جوملا؛ هدف تازه‌ی باج افزار تسلاکریپت

با پژوهش‌های محققان مشخص شده است که بسته‌های نفوذی پس از این‌که هزاران وب‌گاه وردپرس را آلوده کرده‌اند اکنون جهت حملات جدید خود را بر سامانه‌‌ی مدیریت محتوای متن‌باز جوملا متمرکز کرده‌اند.
براد دانکن، محقق امنیتی Rackspace می‌گوید: «گروهی که در پشت حمله‌ی «amedia» به وردپرس بوده‌اند، اکنون آشکارا به وب‌گاه‌های جوملا حمله‌ کرده‌اند. ما اکنون در حال مشاهده‌ی همان مشخصات و ویژگی‌هایی که در حمله به وب‌گاه‌های وردپرس دیده بودیم، در حملات مربوط به وب‌گاه‌های جوملا هستیم.»
در تاریخ یکم فوریه، شرکت امنیتی Sucuri اولین گزارش‌ها را در مورد مهاجمانی که به وب‌گاه‌های وردپرس به وسیله‌ی تزریق پرونده‌‌های جاوااسکریپتی که دارای کدهای آلوده بودند، ارائه کرد. این کد پس از آن iframeها را بارگذاری می‌کرد و تبلیغات را نشان می‌داد و در کنار آن به ایجاد در پشتی در کارگزارهای وب آسیب‌پذیر مبادرت می‌کرد و در نهایت سایر وب‌گاه‌های وردپرس را نیز آلوده می‌کرد.
محققان شرکت امنیتی Heimdal گزارش داده‌اند که بازدیدکنندگانی که از این وب‌گاه‌های وردپرس آسیب‌دیده بازدید می‌کرده‌اند به وب‌گاه‌های آلوده تغییر مسیر داده می‌شدند که حاوی بسته‌ی نفوذی Nuclear بوده است، و مجموعه‌ای از بهره‌برداری‌ها از محصولات شرکت ادوبی (فلش، ریدر، آکروبات) و اینترنت اکسپلورر و مایکروسافت سیلورلایت را در بر داشته است. بر طبق تحقیق شرکت Malwarebytes از آن زمان این بهره‌برداری‌ها تغییر پیدا کرده‌اند و اکنون به ارائه‌ی بسته‌ی نفوذی Angler می‌پردازند.
دانکن که یافته‌های خود را به وب‌گاه ISC ارسال کرده است، می‌نویسد: «ترافیک بسته‌ی نفوذی که با حمله در ارتباط است، به طور کلی از سوی باج‌افزار تسلاکریپت ارسال می‌شود.»
تسلاکریپت همچون سایر نسخه‌های باج‌افزارهای رمزگذار، پرونده‌هایی را که در فضای هارد رایانه قرار دارند، رمزگذاری می‌کند و در عوض ارائه‌ی کلیدی برای رمزگشایی آن‌ها، درخواست مبلغی به عنوان باج می‌کند.
شرکت Sucuri تأیید کرد که این بدافزار را در حال آلوده کردن وب‌گاه‌های جوملا مشاهده کرده است. Denis Singegubki که محققی از شرکت Sucuri است و اولین بار به خطر افتادن وردپرس را در یک رایانامه تشخیص داد می‌گوید: «اگرچه تعداد وب‌گاه‌های جوملا که توسط آن آلوده شده‌اند کم‌تر است (باید توجه داشت که سهم جوملا از بازار نیز کمتر است). در برخی از موارد وب‌گاه‌های آلوده جوملا، همان حساب‌های میزبانی را که وب‌گاه‌های وردپرس داشتند، به اشتراک می‌گذارند.»

ارتباط حملات وردپرس با جوملا
دانکن می‌گوید که یک گروه پشت هر دو حملات Angler و Nuclear است. او در تحقیق خود به بررسی رشته‌های طولانی کد هگزادسیمال که بخشی از اسکریپت تزریق‌شده‌ی بسته‌ی نفوذی در پرونده‌های .js بود پرداخت.
او نوشته است: «با تبدیل این رشته از hex به ASCII، شما یک URL از درگاه admedia را خواهید یافت.»
دانکن شرح می‌دهد: «Admedia یک رشته‌ی عمومی بود که در آدرس‌های URL مربوط به iframeهای وردپرس یافت می‌شد. به این دلیل برخی از افراد از اصطلاح amedia‌ برای ارجاع به ترافیک ایجادشده توسط این حمله استفاده می‌کنند. این نشانی‌های URL amedia به عنوان دروازه‌ای میان وب‌گاه‌های آسیب‌دیده و کارگزارهای بسته‌های نفوذی عمل می‌کنند.»
دانکن به ارائه‌ی مستنداتی در مورد آلودگی بسته‌ی نفوذی Angler مربوط به حمله‌ی amedia در وب‌گاه‌های آسیب‌دیده‌ی جوملا پرداخت.
«من زنجیره‌ی کاملی از وقایع را پیدا کردم. این زنجیره با یک وب‌گاه آسیب‌دیده که به وسیله‌ی درگاه amedia ایجاد شده است، شروع می‌شود. این درگاه به سمت بسته‌ی نفوذی Angler هدایت می‌شود. در نهایت Angler به ارائه‌ی باج‌افزار تسلاکریپت می‌پردازد و ما می‌توانیم برخی از برگشت ترافیک را از سوی بدافزار مشاهده کنیم.»
Sinegubko از شرکت Sucuri عقیده دارد که مهاجمان به پویش آسیب‌پذیری‌ها در وب‌گاه‌های جوملا، وردپرس و دروپال می‌پردازند و در صورت امکان آن‌ها را آلوده می‌کنند.
او می‌گوید: «از آنجایی که بیشتر نسخه‌های این بدافزار بر یک CMS خاص تکیه ندارند (آن‌ها تنها به آلوده کردن پرونده‌های .js در هر کدام از CMS هایی که ممکن باشد می‌پردازند)، آن‌ها از این آسیب‌پذیری برای ورد به کارگزار، بارگذاری یک در پشتی و آلوده کردن همه‌ی وب‌گاه‌هایی که ممکن باشد، استفاده می‌کنند.»
بر اساس اظهارات Sucuri اوج زمان آلودگی وردپرس (تا موقعی که وب‌گاه‌ها پاک شدند) حدود نه روز بوده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap