WEBSWAN.IR

WEBSWAN.IR
پیوندهای روزانه

بد افزار گروگانگیر در سایتهای مشهور

سه شنبه, ۲۰ خرداد ۱۳۹۳، ۰۱:۳۹ ب.ظ

تبلیغات گروگان‌گیر در سایت‌های مشهور

به گفته سیسکو تبلیغات خرابکارانه‌ای در سایت‌های فیس‌بوک، دیزنی، گاردین و برخی سایت‌های دیگر کاربران را به سمت بدافزار گروگان‌گیری که فایل‌های آنان را رمز می‌کند می‌کشاند.

 
سیسکو خبر از تبلیغات خرابکارانه روی دامنه‌های متعلق به دیزنی، فیس‌بوک، روزنامه گاردین و برخی کمپانی‌های دیگر داد که کاربران را گرفتار بدافزاری می‌کنند که فایل‌های کامپیوتر را رمزگذاری می‌کند و تا زمانی که کاربر پول پرداخت نکند، آنها را آزاد نمی‌کند.
تحقیقات سیسکو یک روش پیچیده و مؤثر برای آلوده کردن تعداد زیادی کامپیوتر به بدافزار گروگان‌گیر را کشف کرده است.
سیسکو محصولی به نام Cloud Web Security (CWS) دارد که مشتریانی را که در حال مرور وب هستند نظارت می‌کند و درصورتی‌که بخواهند به دامنه‌های مشکوک وارد شوند، گزارش می‌دهد. CWS روزانه میلیاردها درخواست صفحه وب را نظارت می‌کند.
این شرکت خاطرنشان کرد که برای بیش از 17% از کاربران CWS، درخواست‌های ورودی به 90 دامنه را مسدود کرده است که بسیاری از آنها سایت‌های وردپرس بوده‌اند.
تحقیقات بیشتر نشان داده است که بسیاری از کاربران CWS پس از مشاهده تبلیغات بر روی دامنه‌های پرترافیک مانند apps.facebook.com، awkwardfamilyohotos.com، theguardian.co.uk و go.com، به کار خود پایان داده‌اند.
البته تبلیغات خاص که بر روی این دامنه‌ها مشاهده شده‌اند مورد بررسی قرار گرفته‌اند. چنانچه بر روی این تبلیغات کلیک شود، قربانیان وارد یکی از 90 دامنه ذکر شده می‌شوند.
سبک حمله که تحت عنوان تبلیغ بدافزاری شناخته می‌شود، مدتهاست که به یک مشکل بدل شده است. شبکه‌های تبلیغاتی گام‌هایی را برای تشخیص و شناسایی تبلیغات خرابکارانه که بر روی شبکه آنها قرار می‌گیرد برداشته‌اند، ولی بررسی‌های امنیتی بی عیب نیستند.
به طور معمول تبلیغات خرابکارانه به سراغ وب‌سایت‌هایی می‌روند که از حضور این تبلیغات ناآگاه هستند. کاربران انتظار دارند که زمانی که به سراغ سایت معتبری می‌روند، این سایت قابل اعتماد باشد. اما به علت وجود لینک‌های متعدد به سایت‌های مختلف در عمل اینطور نیست.
90 دامنه‌ای که این تبلیغات خرابکار ترافیک را به سوی آن هدایت می‌کنند نیز هک شده‌اند. در مورد سایت‌های وردپرس به نظر می‌رسد که مهاجمان از حملات brute force برای دسترسی به کنترل پنل سایت استفاده کرده‌اند. سپس یک کیت سوء استفاده به نام Rig اضافه شده است که به سیستم قربانی حمله می‌کند.
کیت سوء استفاده Rig که نخستین بار در ماه آوریل توسط Kahu Security کشف شد، بررسی می‌کند که آیا کاربر از یک نسخه آسیب‌پذیر فلش استفاده می‌کند یا خیر. درصورت مثبت بودن نتیجه، بلافاصله سیستم وی مورد سوء استفاده قرار می‌گیرد.
در مرحله بعدی حمله، یک برنامه گروگان‌گیر به نام Cryptowall نصب می‌شود. این برنامه فایل‌های کاربر را رمز می‌کند و از وی درخواست پول می‌نماید. پیچیدگی این عملیات به این صورت تکمیل می‌شود که وب‌سایتی که کاربر می‌تواند از طریق آن پول را پرداخت کند، یک وب‌سلیا پنهان است که از The Onion Router یا شبکه TOR استفاده می‌کند.
برای دسترسی به این وب‌سایت، کاربر باید TOR را نصب کند که Cryptowall وی را در این مورد راهنمایی می‌کند. کسانی که در پرداخت پول تأخیر کنند، با افزایش مبلغ آن مواجه خواهند شد.
با توجه به استفاده از TOR و زنجیره پیچیده حملات، سیسکو هنوز نتوانسته است مهاجمان پشت این حمله را شناسایی کند.

نظرات (۰)

هیچ نظری هنوز ثبت نشده است
ارسال نظر آزاد است، اما اگر قبلا در بیان ثبت نام کرده اید می توانید ابتدا وارد شوید.
شما میتوانید از این تگهای html استفاده کنید:
<b> یا <strong>، <em> یا <i>، <u>، <strike> یا <s>، <sup>، <sub>، <blockquote>، <code>، <pre>، <hr>، <br>، <p>، <a href="" title="">، <span style="">، <div align="">