Zepto نوعی از باج‌افزار Lucky با انتشار هرزنامه شروع به کار کرده است!

یک باج‌افزار به نام زپتو توجه متخصصان امنیتی را به خود جلب کرده است چرا که پیوندهای نزدیکی با باج‌افزار رشد یافته و پرکار لاکی دارد. باج‌افزار زپتو حدود یک ماه پیش کشف شد اما یک موج اخیر از این هرزنامه که شامل ضمیمه‌های زپتو بود در تاریخ ۲۷ ژوئن کشف شد و موجب ترس از گسترش آلودگی گردید.

کریگ ویلیامز، مدیر ارشد فنی و مدیر توسعه‌ی جهانی شرکت سیسکو تالوس می‌گوید: «ما با دقت باج‌افزار زپتو را زیر نظر داریم. این بدافزار پیوندهای کاملا نزدیکی با لاکی دارد و ویژگی‎های یکسانی را از آن نشان می‌دهد. البته هنوز مسائل زیادی وجود دارند که باید در مورد زپتو دانسته شوند. آنچه که تاکنون می‌توان گفت این است که یا این مورد یک نوع جدید از باج‌افزار لاکی است و یا کاملاً یک باج‌افزار جدید است که ویژگی‎های بسیاری را از باج‌افزار لاکی برداشت کرده است».

شرکت سیسکو تالوس که روز پنجشنبه نتیجه یافته‌های خود در مورد این باج‌افزار را منتشر کرده است می‌گوید که ۱۳۷۷۳۱ پیام هرزنامه را در این هفته یافته است که حاوی ضمیمه‌‌ی مخربی از باج‌افزار زپتو بوده‌اند. نام زپتو از پسوند zepto. ناشی می‌شود که به عنوان قالبی برای پرونده‎های رمزنگاری است.

وارن مرسر که یک محقق امنیتی از شرکت تالوس سیسکو است می‌گوید که جزییات فنی از باج‌افزار زپتو در بسیاری از موارد شبیه به باج‌افزار لاکی هستند. در مقایسه شباهت‌های آن‎ها را می‌توان در نوع کلیدهای رمزنگاری RSA که در لاکی استفاده می‌شود، نوع پرونده‌های زپتو و لاکی که از خود به جای می‌گذارند و شباهت متن ارائه شده از سوی هر دو باج‌افزار دانست.

مرسر می‌گوید: «ما با سرعت حرکت کرده و بسیاری از نمونه‌هایی را که می‌توانیم جدا می‌کنیم تا دریابیم آیا این باج‌افزار همان لاکی است و یا نمونه منحصربه‎فردی مختص به خود می‌باشد».

ویلیامز می‌گوید که وقتی که باج‌افزاری می‌خواهد با سرعت زیادی وارد عمل شود در ساخت آن شتابی صورت می‌گیرد، معمولاً به باج‌افزاری محدود با قدرت اثرپذیری کم تبدیل می‌شود؛ اما باج‌افزار زپتو ممکن است که اکنون دامنه‌ی محدودی داشته باشد، اما کم اثر نیست.

او می‌گوید: «این یکی از مواردی است که ما در موردش نگران هستیم. این یک باج‌افزار حرفه‌ای است که در حال آلوده کردن ده‌ها هزار کاربر است و قطعا باید نظارتی قوی بر روی آن صورت گیرد».

آلودگی این باج‌افزار از طریق یک پرونده‌ی zip. به عنوان یک ضمیمه رایانامه صورت می‌گیرد که حاوی یک جاوا اسکریپت مخرب اجرایی .js است. هنگامی که این جاوا اسکرپیت شروع به عمل می‌کند؛ بی‌سر و صدا روی دستگاه قربانی پرونده‌ها را با یک پسوند zepto. رمزنگاری می‌کند. یک بررسی دقیق‌تر بر روی این جاوا اسکریپت ۳۳۰۵ نمونه‌ی منحصربه‎فرد جاوا اسکریپت را در میان ۱۳۷ هزار رایانامه نشان می‌دهد.

به گفته‌ی محققانی که بر روی زپتو کار می‌کنند: «هنگامی که این جاوا اسکریپت مخرب اجرا می‌شود از wscript.exe برای اجرای درخواست‌ HTTP GET استفاده می‌کند تا دامنه‌های C۲ را تعریف کند. اینجاست که برخی از نمونه‌ها از هم متمایز می‌شوند، چرا که برخی از آن‎ها شروع به اتصال به یک دامنه واحد می‌کنند؛ در حالیکه برخی دیگر شروع به برقرار ارتباط با ۹ دامنه می‌کنند».

توزیع باج‌افزار زپتو از طریق بات‌نت‌های منتشرکننده‌ی هرزنامه است که دارای رویکردی مداوم و پی در پی در هدف قرار دادن کاربر هستند. در شروع کار به نظر می‌رسد که تعداد کل ۱۳۷۷۳۱ پیام هرزنامه‌ی ارسالی برای این باج‌افزار در مقایسه با دیگر حملاتی باج‌افزاری که تا حدود ۵۰ میلیون پیام را در روز ارسال می‌کند، کم است اما ویلیام می‌گوید که برای شروع کار این میزان قابل توجه است.

محققان می‌گویند که رایانامه‌های مخرب، سفارشی شده‌اند تا حاوی نام کوچک گیرنده در متن پیام باشند. خطوط و موضوعات اصلی پیام‌های ارسالی اغلب مربوط به ارسال فاکتور یا اسناد و یا برخی شامل گزارش‌های مالی با ضمیمه‌ی مخرب بوده‌اند.

ویلیام گفته است: «اگر زپتو با این روال به کار خود ادامه دهد، هرگز تبدیل به یک تهدید جدی نخواهد شد؛ اما احتمال زیادی وجود دارد که با گذشت زمان باج‌افزار زپتو از کیت‌های بهره‌بردار استفاده کند. حرکت زپتو به این سمت ممکن است به سرعت وضعیت را وخیم کند».

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap