کشف باج‌افزارهای Fantom و FairWare

محققان یک جفت باج‌افزار جدید کشف کرده‌اند که یکی از آن‌ها موجب به خطر افتادن وضعیت امنیتی صاحب دستگاه شده و دیگری به کاربران لینوکس حمله می‌کند.

اولین باج‌افزار Fantom نام دارد و با سوءاستفاده از این موضوع که روزبه‌روز مردم بیشتری از خطر عدم به‌روزرسانی رایانه خود آگاه می‌شوند، خود را به‌عنوان یک پرونده‌ی به‌روزرسانی ویندوز به کاربران تحمیل می‌کند. باج‌افزار دوم FairWare نام دارد و از قربانی درخواست پرداخت ۲ بیت‌کوین را دارد؛ اما پس ‌از آن نیز هیچ‌گونه تضمینی وجود ندارد که بتوان پرونده‌های به سرقت رفته را دوباره بازیابی کرد.

باج‌افزار Fantom توسط محقق شرکت AVG، یاکوب کروستک کشف شده است که یافته‌های خود را در تاریخ ۲۴ آگوست در توییتر ارسال کرده است. لارنس آبرامز بنیان‌گذار BleepingComputer در یکی از ارسال‌های وب‌نوشت خود گفته است که این باج‌افزار بر پایه‌ی پروژه‌ی متن‌باز EDA۲ بنا شده است. با این‌حال، عوامل مخربی که پشت این باج‌افزار بوده‌اند، دو نوع پیچیدگی دیگر را به این حمله‌ی متعارف باج‌افزاری اضافه کرده‌اند.

کروستک از طریق یک پیام توییتری به ScMagazine گفته است که اولین پیچیدگی این است که مجرمان با استفاده از مهندسی اجتماعی طعمه‌ای را در درون یک پنجره‌ی به‌روزرسانی جعلی مایکروسافت ویندوز قرار داده و نوشته‌اند که این یک به‌روزرسانی حیاتی و ضروری است. اگر کاربر در دام افتاد و بر روی Ok کلیک کرد، باج‌افزار بارگیری شده و شروع به رمزنگاری پرونده‌های قربانی می‌کند. کلاه‌برداران برای اینکه هر چه بیشتر هدف را در گمراهی نگه دارند، یک پنجره دیگر نیز ظاهر کرده و طوری وانمود می‌کنند که به‌روزرسانی در حال بارگیری است. اما در واقع این پنجره نشان می‌دهد که چه تعداد از پرونده‌های رایانه‌ی مورد هدف در حال رمزنگاری هستند.

پس ‌از اینکه Fantom بارگیری شد به ایجاد یک کلید رمزنگاری ۱۲۸ بیتی می‌پردازد که با استفاده از الگوریتم RSA به رمزنگاری پرداخته و آن را در کارگزار کنترل و فرماندهی (C&C) مهاجمان ذخیره می‌کند.

یادداشت باج‌خواهی که به صورتی ضعیف نوشته شده است، هیچ مبلغ مشخصی را برای بازیابی پرونده‌ها درخواست نمی‌کند بلکه از قربانی می‌خواهد که رایانامه‌ای را به یک نشانی روسی ارسال کند تا دستورالعمل‌های بعدی صادر گردد.

هنوز مشخص نشده است که چگونه قربانی در دام این باج‌افزار می‌افتد اما کروستک در این زمینه یک نظریه دارد.

او می‌گوید: «روش آلوده‌سازی این زنجیره‌ی باج‌افزاری در حال حاضر مشخص نیست، اما در هر صورت با نام پرونده‌ی criticalupdate۰۱.exe گسترش داده می‌شود تا کاربران را به ‌اشتباه اندازد. این احتمال وجود دارد که این‌گونه توسط هرزنامه‌ها یا RDP (پروتکل از راه دور رایانه) گسترش پیدا کند».

باج‌افزار FairWare اولین بار در انجمن Bleeping Computers در ۲۷ آگوست گزارش داده شده است. در آنجا خوانندگان به دنبال اطلاعاتی در مورد این باج‌افزار جدید بوده‌اند. گزارش‌های اولیه حاکی از آن است که سامانه‌های لینوکس مورد نفوذ قرار گرفته‌اند به‌طوری‌که پوشه‌های موجود در وب‌گاه‌ها حذف شده و با یک یادداشت باج‌خواهی جایگزین شده‌اند که در آن عنوان شده است: قربانی باید ۲ بیت‌کوین در طول دو هفته آتی پرداخت کند، در غیر این صورت، داده‌ها افشاء خواهند شد.

آبرامز در یک یادداشت جداگانه در وب‌نوشت خود گفته است: «الان هنوز مشخص نیست که آیا مهاجمان پرونده‌های قربانیان را حفظ کرده و پس از پرداخت باج آن‌ها را بازگردانده باشند. بنابراین همه‌ی قربانیان باج‌افزار باید از پرداخت این باج خودداری کنند، اگر شما قصد دارید که این پول را بپردازید باید در ابتدا مطمئن شوید که آن‌ها پرونده‌های شما را در اختیار دارند».

همچنین به‌طور رسمی اعلام نشده است که چگونه FairWare گسترش پیدا می‌کند، اگرچه یکی از اعضای انجمن عنوان کرده است که رایانه‌ی او با استفاده از یک حمله‌ی جستجوی فراگیر مورد نفوذ قرار گرفته است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.