توزیع باج‌افزار Locky از طریق پیام‌رسان فیس‌بوک

۵محققان پویش جدیدی را کشف کردند که با استفاده از پیام‌رسان فیس‌بوک باج‌افزار Locky را از طریق تصاویر SVG توزیع می‌کند.

محقق امنیتی با نام بارت بلیز اولین کسی بود که آخر هفته‌ی گذشته این مسئله را مورد بررسی قرار داد. او در وبلاگش نوشت: «امروز توسط یکی از دوستانم متوجه مسئله‌ای عجیب در فیس‌بوک شدم. یک پیام به‌طور خودکار برای او ارسال شده که فقط حاوی یک تصویر بوده (تصویری با پسوند svg.) و به‌خوبی توانسته مسدودکننده‌ی پسوند پرونده در فیس‌بوک را دور بزند.»
مهاجمان از تصاویر svg به‌عنوان وسیله‌ای برای قرار دادن کدهای مخربی مانند جاوا اسکریپت استفاده می‌کنند. سال قبل نیز محققان پویشی را کشف کرده بودند که با استفاده از پرونده‌های SVG به توزیع باج‌افزارها می‌پرداخت.

SVG یک فرمت تصویر برداری مبتنی بر XML برای گرافیک‌های دو بعدی است که از انیمیشن و تعامل نیز پشتیبانی می‌کند. تصاویر SVG رفتارهای خود را در پرونده‌های متنی XML قرار می‌دهند. از این رو پرونده‌های SVG قابل جستجو، اندیس‌گذاری، اسکریپت‌نویسی و فشرده‌سازی هستند. باوجود اینکه می‌توان این تصاویر را به‌طور دستی و با ویرایشگر متن تولید کرد، نرم‌افزارهایی وجود دارند که این تصاویر را به‌طور خودکار و با دقت بالا تولید می‌کنند.

محققان امنیتی قبلاً گزارش داده بودند که مهاجمان کد کوچک جاوا اسکریپتی را در داخل تصویر SVG قرار داده‌اند که قربانی را به سمت یک وب‌گاه هدایت می‌کند. بر روی این وب‌گاه باج‌افزار Cryptowall میزبانی می‌شد.

در حال حاضر نیز یک بارگیری‌کننده با نام Nemucod در قالب تصویر SVG از طریق پیام‌رسان فیس‌بوک توزیع می‌شود. وقتی قربانی تصویر SVG را باز می‌کند به سمت وب‌گاهی هدایت می‌شود که در وهله‌ی اول به‌نظر می‌رسد یوتیوب باشد. پس از بارگیری وب‌گاه، از قربانی خواسته می‌شود برای نمایش ویدئوها یک افزونه‌ی خاص را بارگیری کند. وقتی کاربر از طریق فیس‌بوک بخواهد ویدئویی در یوتیوب را ببیند، شاید لازم باشد افزونه‌های بیشتری را بارگیری و نصب کند.

اگر قربانی بر روی مرورگر کروم، افزونه‌ای که از او درخواست شده را نصب کند، این افزونه‌ی مخرب بارگیری‌کننده‌ی Nemucod را نصب کرده و یک حمله توسط باج‌افزار Locky آغاز می‌شود. بلیز گفته است هنوز نمی‌داند که دقیقاً چه پسوندهایی از طریق پیام‌رسان فیس‌بوک در حال توزیع باج‌افزار Locky هستند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter