وردپرس، دروازه‌ی انتشار باج‌افزار تسلاکریپت

اپراتورهای وب‌گاه اجراکننده‌ی وب‌گاه‌ها روی سکوی وردپرس باید از آلودگی‌های بسیاری که روز پنج‌شنبه توسط محصولات امنیتی کشف شدند آگاه شوند.
محققان در برنامه‌ی امنیتی Heimdal گفتند که برخی وب‌گاه‌ها قربانیان را دوباره به دامنه‌های دیگری هدایت می‌کنند که میزبان بسته‌ی نفوذی Nuclear، (مجموعه‌ای قدرتمند از ابزارهای بهره‌برداری از ادوبی فلش، ریدر، آکروبات) و اینترنت اکسپلورر و Silverlight مایکروسافت می‌باشد که در این مورد و در گذشته باج‌افزار را به رایانه‌های آلوده وارد کرده است.
در اواخر ماه نوامبر، نسخه‌های دیگر بسته‌ی نفوذی Nuclear، باج‌افزار کریپتووال خطرناکی را وارد کرده‌اند. محققان Heimdal گفتند که این مجموعه عملیات رایانه‌ها را با تسلاکریپت آلوده می‌کنند.
تسلاکریپت همانند نسخه‌های دیگر باج‌افزار کریپتو، پرونده‌های ذخیره‌شده روی دیسک سخت محلی را رمزگذاری می‌کنند و به ازای رمز پرونده‌‌ها درخواست باج می‌کنند.
محققان در FireEye برآورد کردند که این باج‌افزار بیش از ۷۶۰۰۰ دلار در سه‌ماهه‌ی اول سال گذشته به جیب زده است که در مقایسه با پولی که کریپتولاکر و نمونه‌های دیگر باج‌افزار به دست آوردند ناچیز می‌باشد.
FireEye راجع به قربانیان اولیه‌ی تسلاکریپت تحقیقاتی انجام داد. بسیاری از آن‌ها چیزی راجع به اینکه برای رایانه‌شان چه اتفاقی افتاده است چیزی نمی‌دانستند و نگران امنیت شغلی و حساب مالی‌شان پس از این آلودگی‌ها بودند.
در ماه جولای، نسخه‌ی جدیدی از تسلاکریپت وارد شد که طرح جدیدی از رمزگذاری و ویژگی‌های دیگری داشت که از کریپتووال تقلید می‌کردند.
محقان Heimdal گفتند که نفوذگرهای پشت این قضیه‌ی وردپرس از آسیب‌پذیری ناشناخته‌ای با جاوااسکریپت مبهم استفاده کرده‌اند.
این کد مخرب ترافیک را به دامنه‌ی دیگری به نام chrenovuihren هدایت کردند که در آن تبلیغات برخطی برای کاربران ارائه می‌شود و ترافیک را به وب‌گاه دارای بسته‌ی نفوذی Nuclear هدایت می‌کند. محققان Heimdal سه آدرس IP را شناسایی کردند که به عنوان گذرگاه بسته‌ی نفوذی عمل می‌کردند: ۱۵۹[.]۲۰۳[.]۲۴ [.] ۴۰، ۱۶۴[.]۱۳۲[.]۸۰ [.] ۷۱ و ۱۶۲[.]۲۴۳[.]۷۷ [.] ۲۱۴.
محققان Heimdal در وبلاگی نوشتند: «این مجموعه‌ی عملیاتی باعث استفاده از چندین دامنه برای انتقال کدهای مخرب می‌شوند، و این دلیلی است برای این‌که چرا کارگزارهای فعال می‌توانند بر اساس IP که به عنوان دی‌ان‌اسی که استفاده می‌کنند، می‌توانند به سرعت تغییر یابند.»
محققان Heimdal گفتند که دامنه‌های مخرب زیردامنه‌های chrenovuihren می‌باشند. آن‌ها افزودند که هم‌اکنون بیش از ۸۵ دامنه بلاک شده است. از دیشب تا کنون دو محصول از ۶۶ محصولات امنیتی روی VirusTotal تهدیدات را شناسایی کردند.
یافته‌های Heimdal کمتر از یک هفته پس از شرکت امنیتی Sucuri اعلام کرد که مجموعه‌ی عملیاتی بسیاری به طور مشابهی آشکار شده است. محققان Heimdal در گزارش خود گفتند که معتقدند یک گروه پشت این دو حمله وجود دارد اما نمی‌توانند آن را اثبات کنند.
شرکت Sucuri گفت که آلودگی‌هایی که دیده است توسط کدهای مخرب رمزگذاری شده‌ای مشخص شده‌اند که به تمامی پرونده‌‌های جاوااسکریپت مجاز بستگی دارد. وی افزود این آلودگی‌ها تنها به بازدیدکنندگان اولیه‌ی وب‌گاه‌ها آسیب می‌رساند و پرونده‌ی متنی را تنظیم می‌کند که طی ۲۴ ساعت به پایان می‌رسد و iFrame را با Admedia یا «تبلیغات» در بخشی از URL ناپدید می‌کند.
در ضمن، محققان Heimdal از اپراتورهای وردپرس برای به‌روزرسانی هرچه سریع‌تر سامانه‌ی مدیریت محتوا استفاده می‌کنند، و از سامانه‌های پرونده‌ی آن‌ها به طور منظم پشتیبانی می‌کنند. پشتیبانی‌های منظم برای مکان‌های چندگانه در کنار آشکارسازی‌های به‌روزرسانی‌شده برای باج‌افزارهای معروف، بهترین دفاع در برابر این باج‌افزارها می‌باشند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.