کیت بهره‌بردار RIG میلیون‌ها کاربر را در معرض بدافزار SmokeLoader قرار می‌دهد!

 مشاهده شده است که کیت بهره‌بردار RIG که در حال حاضر یک ابزار شایع در دست مجرمان سایبری برای آلوده کردن سامانه‌ها در سراسر جهان است؛ در یکی از حملات اخیر خود، میلیون‌ها کاربر را در معرض ابتلا به بدافزار SmokeLoader با عنوان دیگر (Dofoil) قرار داده است.

اکنون که کیت بهره‌بردار Angler غایب شده است، بسیاری دیگر از تهدیدها تلاش می‌کنند تا جای خالی آن را پر کنند و کیت بهره‌بردار RIG یکی از آنهاست؛ اگرچه به نظر می‌رسد که کیت بهره‌بردار Neutrino هنوز و در حال حاضر سلطان این قلمرو است. به گفته‌ی محققان Forcepoint حمله‌ی اخیری مشاهده شده از سوی RIG به کاربران شبکه Sprashivali[.]ru حمله کرده است که یک شبکه‌ی اجتماعی روسی پرسش و پاسخ است.

این وب‌گاه محبوب به‌طور تقریبی ۲۰ میلیون بازدید کننده در ماه دارد و حمله‌ی عوامل RIG به آن قابل درک است.

در ظرف چند سال گذشته، وب‌گاه‌های سطح بالای زیادی به‌وسیله‌ی کیت‌های بهره‌بردار متعددی از طریق بدافزارهای تبلیغاتی و یا سایر شگردها مورد حمله قرار گرفته‌اند تا این بدافزارها بتوانند تا آنجا که ممکن است کاربران را هدف بدافزارهایی که با خود حمل می‌کنند قرار دهند.

در این نمونه، این وب‌گاه به‌وسیله‌ی یکی از این عوامل که تلاش دارد تا کاربران را به سمت کیت بهره‌بردار RIG محتوی یک iFrame تزریق شده هدایت کند تا بتواند صفحه‌ی بارگیری کیت بهره‌بردار RIG را در آن‌ها بارگذاری کند. RIG به مانند دیگر کیت‌های بهره‌بردار تلاش دارد تا از نرم‌افزارهای آسیب‌پذیری منسوخ شده روی دستگاه‌های هدف استفاده کند که در این مورد اجزای مرورگر نظیر افزونه‌های فلش پلیر هستند.

اگر RIG بتواند یک آسیب‌پذیری قابل بهره‌برداری را پیدا کند، بدافزار SmokeLoader را در آن بارگذاری و سپس اجرا می‌کند. همه‌ی مراحل کار در پس‌زمینه اجرا می‌شود بدون اینکه به کاربر هشداری بدهند و بدون اینکه نیاز به تعامل با آن داشته باشند. این کار به عنوانی بخشی از یک شگرد آلوده‎کننده به نام بارگیری و راه‌اندازی drive-by-download اجرا می‌شود.

نیکلاس گریفین از شرکت Forcepoint کشف کرده است که RIG تلاش می‌کند تا از آسیب‌پذیری CVE-۲۰۱۵-۸۶۵۱ در فلش ‌پلیر بهره‌برداری کند که در دسامبر سال گذشته شرکت ادوبی آن را با یک اصلاحیه‌ی اضطراری وصله کرده است. ظاهراً این وب‌گاه روسی دست‌کم تا ۲۳ ژوئن در معرض این آسیب‌پذیری قرار داشته‌ است و به تغییر مسیر کاربران به سمت این کیت بهره‌بردار تا ۲۹ ژوئن ادامه می‌داده است؛ اگرچه در تاریخ ۲۷ ژوئن به این وب‌گاه اطلاع داده شده است.

در پشتی SmokeLoader که درگذشته با بدافزار بانکی Retefe در ارتباط بود، بعد از اینکه بهره‌بردار RIG موفق شد تا یک سامانه اجرایی نصب کننده (Nullsoft (NSIS را در دستگاه قربانی قرار دهد؛ رمزگشایی شده و اجرا می‌شود. کشف این شیوه‌ی حمله برای ضد بدافزارهای امنیتی مشکل است، چرا که پرونده‌های NSIS مشروع هستند و توانایی اسکریپت‎نویسی آن‌ها را به شدت چندمنظوره کرده است.

این بدافزار تلاش می‌کند تا به کارگزار کنترل و فرماندهی خود متصل شود، درحالی‌که هم‌زمان تعداد زیادی درخواست‌های جعلی را به وب‌سایت‌های قانونی ارسال می‌کند.

بدافزار SmokeLoader عمدتاً برای این طراحی شده است تا به بارگیری افزونه‌هایی بپردازد که می‌توانند عملکردهای مخرب متعددی روی رایانه‌های آلوده داشته باشند و به سرقت اعتبارنامه‌ها، تقلب در تبلیغات و بارگیری سایر بدافزارها می‌پردازد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.