به
گفته سیسکو تبلیغات خرابکارانهای در سایتهای فیسبوک، دیزنی، گاردین و
برخی سایتهای دیگر کاربران را به سمت بدافزار گروگانگیری که فایلهای
آنان را رمز میکند میکشاند.
سیسکو خبر از تبلیغات خرابکارانه روی دامنههای متعلق به دیزنی،
فیسبوک، روزنامه گاردین و برخی کمپانیهای دیگر داد که کاربران را گرفتار
بدافزاری میکنند که فایلهای کامپیوتر را رمزگذاری میکند و تا زمانی که
کاربر پول پرداخت نکند، آنها را آزاد نمیکند.
تحقیقات سیسکو یک روش پیچیده و مؤثر برای آلوده کردن تعداد زیادی کامپیوتر به بدافزار گروگانگیر را کشف کرده است.
سیسکو محصولی به نام Cloud Web Security (CWS) دارد که مشتریانی را که در حال مرور وب هستند نظارت میکند و درصورتیکه بخواهند به دامنههای مشکوک وارد شوند، گزارش میدهد. CWS روزانه میلیاردها درخواست صفحه وب را نظارت میکند.
این شرکت خاطرنشان کرد که برای بیش از 17% از کاربران CWS، درخواستهای ورودی به 90 دامنه را مسدود کرده است که بسیاری از آنها سایتهای وردپرس بودهاند.
تحقیقات بیشتر نشان داده است که بسیاری از کاربران CWS پس از مشاهده تبلیغات بر روی دامنههای پرترافیک مانند apps.facebook.com، awkwardfamilyohotos.com، theguardian.co.uk و go.com، به کار خود پایان دادهاند.
البته
تبلیغات خاص که بر روی این دامنهها مشاهده شدهاند مورد بررسی قرار
گرفتهاند. چنانچه بر روی این تبلیغات کلیک شود، قربانیان وارد یکی از 90
دامنه ذکر شده میشوند.
سبک
حمله که تحت عنوان تبلیغ بدافزاری شناخته میشود، مدتهاست که به یک مشکل
بدل شده است. شبکههای تبلیغاتی گامهایی را برای تشخیص و شناسایی تبلیغات
خرابکارانه که بر روی شبکه آنها قرار میگیرد برداشتهاند، ولی بررسیهای
امنیتی بی عیب نیستند.
به
طور معمول تبلیغات خرابکارانه به سراغ وبسایتهایی میروند که از حضور
این تبلیغات ناآگاه هستند. کاربران انتظار دارند که زمانی که به سراغ سایت
معتبری میروند، این سایت قابل اعتماد باشد. اما به علت وجود لینکهای
متعدد به سایتهای مختلف در عمل اینطور نیست.
90
دامنهای که این تبلیغات خرابکار ترافیک را به سوی آن هدایت میکنند نیز
هک شدهاند. در مورد سایتهای وردپرس به نظر میرسد که مهاجمان از حملات brute force برای دسترسی به کنترل پنل سایت استفاده کردهاند. سپس یک کیت سوء استفاده به نام Rig اضافه شده است که به سیستم قربانی حمله میکند.
کیت سوء استفاده Rig که نخستین بار در ماه آوریل توسط Kahu Security
کشف شد، بررسی میکند که آیا کاربر از یک نسخه آسیبپذیر فلش استفاده
میکند یا خیر. درصورت مثبت بودن نتیجه، بلافاصله سیستم وی مورد سوء
استفاده قرار میگیرد.
در مرحله بعدی حمله، یک برنامه گروگانگیر به نام Cryptowall
نصب میشود. این برنامه فایلهای کاربر را رمز میکند و از وی درخواست پول
مینماید. پیچیدگی این عملیات به این صورت تکمیل میشود که وبسایتی که
کاربر میتواند از طریق آن پول را پرداخت کند، یک وبسلیا پنهان است که از The Onion Router یا شبکه TOR استفاده میکند.
برای دسترسی به این وبسایت، کاربر باید TOR را نصب کند که Cryptowall وی را در این مورد راهنمایی میکند. کسانی که در پرداخت پول تأخیر کنند، با افزایش مبلغ آن مواجه خواهند شد.
با توجه به استفاده از TOR و زنجیره پیچیده حملات، سیسکو هنوز نتوانسته است مهاجمان پشت این حمله را شناسایی کند.
|