کمپین بزرگ Locky با ضمیمه‎های جاوا اسکریپت قدرت گرفته است!

در طول چند هفته‎ی اخیر، محققان امنیتی شاهد رشد چشمگیری در ارسال هرزنامه‎هایی بودند که حاوی پرونده‎ی جاوا اسکریپت به عنوان ضمیمه بودند که تلاش می‎کردند بدافزارهای مشهوری همچون باج‎افزار Locky را توزیع کنند.
در فوریه محققان Trustwave کمپین ارسال هرزنامه‎ای را کشف کردند که عوامل پشت بات‎نت Dridex روش توزیع در آن را تغییر دادند که به جای ارسال ماکروهای مخرب مایکروسافت با ضمیمه‎های جاوا اسکریپت سازگار شده است. در این کمپین بار داده باج‌افزار Locky است. چیزی که بدیهی است اینکه باج‎افزارها و بات‎نت Dridex باهم متصل هستند.
هم‎اکنون محققان Proofpoint افزایشی چشمگیر در ایمیل‎هایی با ضمیمه‎ی .js بجای پرونده‎های مایکروسافت مشاهده کرده‎اند. همچنین در این کمپین شاهد ارسال هزاران هرزنامه به کاربران مختلف بوده‎اند. به گفته‎ی محققین این کمپین مبتنی بر استفاده از بات‎نت است که برای توزیع این ایمیل‎ها از آن استفاده می‎شود.
اندازه‎ی این کمپین نشان از آن دارد که مهاجمان در حال سرمایه‎گذاری بر روی ضمیمه‎های جاوا اسکریپت هستند زیرا کاربران با احتمال بیشتری نسبت به ضمیمه‎های اجرایی بر روی این ضمیمه‎های جاوا اسکریپت کلیک می‎کنند. معاون رئیس‎جمهور در زمینه‎ی تهدیدات سایبری در Proofpoint در این مورد می‎گوید: «کاربران یاد گرفته‎اند که بر روی ضمیمه‎های اجرایی کلیک نکنند ولی شاید خیلی از آن‎ها نمی‎دانند که پرونده‎های جاوا اسکریپت چه هستند و یا اینکه چقدر این پرونده‎ها خطرناک می‎توانند باشند. آیکون پرونده شبیه به یک سند که یک کاربر ناآشنا را می‎نواتد به راحتی گول بزند.»
بار داده‎ی نهایی در این کمپین منحصراً Dridex و Locky است هرچند که نوع یکسانی از این ضمیمه‎های مخرب برای توزیع Teslacrypt و CryptoWall نیز قبلاً مورد استفاده قرار می‎گرفت. به هرحال محققان می‎گوید حقه و فریبی که در کمپین جدید وجود دارد مشابه نمونه‎هایی است که قبلاً اجرا می‌شد و از ضمیمه‎های مایکروسافت استفاده می‎کرد.
علاوه بر این مؤسسه‎ی امنیتی ESET اشاره کرده که حجم عظیمی از بدافزار JS/Danger.ScriptAttachment را شناسایی کرده است. این بدافزار خود به تنهایی چیز خاصی نیست ولی نصب‎کننده‎ای با هدف بارگیری بدافزارهای دیگر بر روی سامانه‎ی قربانی طراحی شده است. بدافزارهایی از خانواده‎ی باج‎افزارهای-رمزنگار همچون Locky که بار داده‎ی بسیاری از این بدافزارها را شامل می‎شود.
این بدافزار از طریق ضمیمه‎های ایمیلی توزیع می‎شود و از تکنیک‎های مهندسی اجتماعی استفاده می‎کند تا کاربر از همه جا بی‎خبر آن ضمیمه را اجرا کند. مؤسسه‎ی ESET که بزرگ‎ترین تهدید حال حاضر را باج‎افزار معرفی کرده است، آمار جدیدی منتشر کرده که کشورهای تحت تأثیر آن عبارتند از: لوکزامبورگ (۶۷٪)، جمهوری چک (۶۰٪)، اتریش (۵۷٪)، هلند (۵۴٪) و انگلستان (۵۱٪).

محققان Proofpoint اظهار می‎کنند که منشأ اصلی این کمپین ارسال ایمیل، بات‎نتی در سرتاسر دنیا است اما بزرگ‎ترین بازه‎ی آدرس‎های IP در هند و ویتنام قرار دارد.
تعداد زیادی از این ایمیل‎های این کمپین از سمت مهاجمان طوری ارسال شده است که اطمینان حاصل شود که ایمیل حتماً به دست گیرندگان بدون محافظت رسیده است. علاوه بر این، از آنجا که پرونده‎های پیوست شده بلافاصله به عنوان مخرب شناسایی نمی‎شوند، شانس موفقیت این ایمیل حاوی ضمیمه‎ی مخرب بالا خواهد بود.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap