توزیع باج‌افزار Locky توسط پویش هرزنامه‌ای با جعل هویت OPM

۷محققان PhishMe هشدار دادند پویش هرزنامه‌ای جدیدی مشاهده شده که از نقض سال گذشته در دفتر مدیریت پرسنل۱ (OPM) آمریکا استفاده کرده و هویت این مرکز را جعل می‌کنند تا باج‌افزار Locky را گسترش دهند.

از اواسط بهمن ماه که باج‌افزار Locky برای اولین بار مشاهده شد، این بدافزار دائما برای گریز از تشخیص، روش‌های توزیع مختلفی را امتحان می‌کند. همچنین این بدافزار علاوه بر اینکه از ضمیمه‌های مخرب متنوعی همچون اسناد آفیس با قابلیت ماکرو، جاوا اسکریپت، DLL ها و پرونده‌های اسکریپتی ویندوز (WSF) استفاده می‌کند، به‌طور مداوم پسوندهایی که به انتهای پرونده‌های رمزنگاری‌شده اضافه می‌شود را نیز تغییر می‌دهد. تاکنون پسوندهایی مثل locky ،.zepto. و odin. مشاهده شده‌اند.

اخیراً نیز عاملان این باج‌افزار تصمیم گرفته‌اند در پویش هرزنامه‌ای، هویت دفتر مدیریت پرسنل آمریکا را جعل کنند. در این پویش هرزنامه‌ای ادعا می‌شود که حرکات مشکوکی در حساب بانکی قربانی توسط OPM شناسایی شده است. این رایانامه دارای یک ضمیمه‌ی zip. است که در داخل آن کدهای جاوا اسکریپت قرار دارد. مشابه سایر پویش‌های هرزنامه‌ای این کد جاوا اسکریپت وسیله‌ای برای بارگیری و اجرای باج‌افزار Locky است.

محققان PhishMe می‌گویند بخاطر اینکه این‌گونه بنظر می‌رسد که رایانامه از سمت OPM ارسال شده است، احتمال دارد کارمندان دولتی و طرف قرارداد با دولت فریب بخورند. علاوه بر این احتمال دارد افرادی که در نقض سال گذشته‌ی OPM تحت تاثیر قرار گرفته بودند نیز فریب این پویش را بخورند.
به‌طور کلی تاکنون در این پویش ۳۲۳ برنامه‌ی منحصربفرد جاوا اسکریپت در قالب ضمیمه شناسایی شده است که وظیفه‌ی اصلی آن‌ها بارگیری بار داده‌ی باج‌افزار Locky از ۷۸ مکان مختلف بوده است.

نکته‌ای که محققان فهمیدند این است که حتی اگر جعل هویت OPM نیز کنار گذاشته شود، این پویش متوقف نخواهد شد. اگر این جعل هویت نیز حذف شود، پویش به رایانامه‌ی فیشینگ دیگری با عناوینی همچون «حرکات مشکوک» و «خروج از حساب کاربری» تبدیل شده و باج‌افزار Locky را گسترش خواهند داد.
با این وجود محققان می‌گویند نشانه‌ای از اینکه قربانیان سال قبل OPM هدف این پویش بوده باشند و یا اینکه کارکنان دولتی مورد حمله‌ی فیشینگ قرار گرفته باشند، وجود ندارد و هر فرد غیرمرتبط با این ماجراها می‌تواند این رایانامه‌ها را دریافت کند.

این شرکت امنیتی می‌گوید: «آدرس‌های رایانامه‌ی مرتبط با نقض داده‌ی OPM خیلی زیاد توزیع نشد. به این ترتیب خیلی بعید به‌نظر می‌رسد که عاملان این تهدید بدانند که دقیقاً چه کسانی این رایانامه‌ها را دریافت می‌کنند. علاوه بر این، شرکت ما در خصوص این موضوع که افراد تحت تأثیر در نقض OPM یک رونوشت از این رایانامه را دریافت کرده‌اند، تاییدی دریافت نکرده است.»

۱. Office of Personnel Management

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter