WEBSWAN.IR

WEBSWAN.IR
پیوندهای روزانه

۲ مطلب با کلمه‌ی کلیدی «هشدار امنیتی جدید» ثبت شده است

تبلیغات گروگان‌گیر در سایت‌های مشهور

به گفته سیسکو تبلیغات خرابکارانه‌ای در سایت‌های فیس‌بوک، دیزنی، گاردین و برخی سایت‌های دیگر کاربران را به سمت بدافزار گروگان‌گیری که فایل‌های آنان را رمز می‌کند می‌کشاند.

 
سیسکو خبر از تبلیغات خرابکارانه روی دامنه‌های متعلق به دیزنی، فیس‌بوک، روزنامه گاردین و برخی کمپانی‌های دیگر داد که کاربران را گرفتار بدافزاری می‌کنند که فایل‌های کامپیوتر را رمزگذاری می‌کند و تا زمانی که کاربر پول پرداخت نکند، آنها را آزاد نمی‌کند.
تحقیقات سیسکو یک روش پیچیده و مؤثر برای آلوده کردن تعداد زیادی کامپیوتر به بدافزار گروگان‌گیر را کشف کرده است.
سیسکو محصولی به نام Cloud Web Security (CWS) دارد که مشتریانی را که در حال مرور وب هستند نظارت می‌کند و درصورتی‌که بخواهند به دامنه‌های مشکوک وارد شوند، گزارش می‌دهد. CWS روزانه میلیاردها درخواست صفحه وب را نظارت می‌کند.
این شرکت خاطرنشان کرد که برای بیش از 17% از کاربران CWS، درخواست‌های ورودی به 90 دامنه را مسدود کرده است که بسیاری از آنها سایت‌های وردپرس بوده‌اند.
تحقیقات بیشتر نشان داده است که بسیاری از کاربران CWS پس از مشاهده تبلیغات بر روی دامنه‌های پرترافیک مانند apps.facebook.com، awkwardfamilyohotos.com، theguardian.co.uk و go.com، به کار خود پایان داده‌اند.
البته تبلیغات خاص که بر روی این دامنه‌ها مشاهده شده‌اند مورد بررسی قرار گرفته‌اند. چنانچه بر روی این تبلیغات کلیک شود، قربانیان وارد یکی از 90 دامنه ذکر شده می‌شوند.
سبک حمله که تحت عنوان تبلیغ بدافزاری شناخته می‌شود، مدتهاست که به یک مشکل بدل شده است. شبکه‌های تبلیغاتی گام‌هایی را برای تشخیص و شناسایی تبلیغات خرابکارانه که بر روی شبکه آنها قرار می‌گیرد برداشته‌اند، ولی بررسی‌های امنیتی بی عیب نیستند.
به طور معمول تبلیغات خرابکارانه به سراغ وب‌سایت‌هایی می‌روند که از حضور این تبلیغات ناآگاه هستند. کاربران انتظار دارند که زمانی که به سراغ سایت معتبری می‌روند، این سایت قابل اعتماد باشد. اما به علت وجود لینک‌های متعدد به سایت‌های مختلف در عمل اینطور نیست.
90 دامنه‌ای که این تبلیغات خرابکار ترافیک را به سوی آن هدایت می‌کنند نیز هک شده‌اند. در مورد سایت‌های وردپرس به نظر می‌رسد که مهاجمان از حملات brute force برای دسترسی به کنترل پنل سایت استفاده کرده‌اند. سپس یک کیت سوء استفاده به نام Rig اضافه شده است که به سیستم قربانی حمله می‌کند.
کیت سوء استفاده Rig که نخستین بار در ماه آوریل توسط Kahu Security کشف شد، بررسی می‌کند که آیا کاربر از یک نسخه آسیب‌پذیر فلش استفاده می‌کند یا خیر. درصورت مثبت بودن نتیجه، بلافاصله سیستم وی مورد سوء استفاده قرار می‌گیرد.
در مرحله بعدی حمله، یک برنامه گروگان‌گیر به نام Cryptowall نصب می‌شود. این برنامه فایل‌های کاربر را رمز می‌کند و از وی درخواست پول می‌نماید. پیچیدگی این عملیات به این صورت تکمیل می‌شود که وب‌سایتی که کاربر می‌تواند از طریق آن پول را پرداخت کند، یک وب‌سلیا پنهان است که از The Onion Router یا شبکه TOR استفاده می‌کند.
برای دسترسی به این وب‌سایت، کاربر باید TOR را نصب کند که Cryptowall وی را در این مورد راهنمایی می‌کند. کسانی که در پرداخت پول تأخیر کنند، با افزایش مبلغ آن مواجه خواهند شد.
با توجه به استفاده از TOR و زنجیره پیچیده حملات، سیسکو هنوز نتوانسته است مهاجمان پشت این حمله را شناسایی کند.

هشدار امنیتی

۰۳
خرداد

هشدار «ماهر» به کاربران پست الکترونیک گوگل

مرکز مدیریت امداد و هماهنگی رخدادهای رایانه‌ای با اعلام هشدار به کاربران حساب‌های کاربری گوگل اعلام کرد: کاربران پست الکترونیک گوگل ممکن است هدف یک حمله سرقت هویت قرار گیرند و داده‌های آن‌ها در اختیار مجرمان سایبری قرار گیرد.

 به نقل از مهر، مرکز ماهر با اعلام هشدار در مورد این‌که حساب‌های کاربری گوگل هدف کمپین جدید سرقت هویت قرار گرفته است تاکید کرد: اخیرا محققان Bitdefender یک حمله سرقت هویت را کشف کردند که برای سرقت اعتبارنامه‌های ورودی کاربران گوگل طراحی شده است.

در این حمله، یک پست الکترونیک هرزنامه ای با عنوان Mail Notice یا New Lockout Notice برای کاربران ارسال می‌شود و به آن‌ها می‌گوید که پست الکترونیکی شما در 24 ساعت آینده قفل خواهد شد و شما قادر نخواهید بود تا Email storage Quota را افزایش دهید؛ براین اساس برای افزایش خودکار سهمیه Email خود به INSTANT INCREASE بروید؛ اما زمانی که کاربر بر روی INSTANT INCREASE  کلیک کند به یک صفحه لاگین تقلبی از گوگل هدایت می‌شود. 

نکته قابل توجه درباره این حمله آن است که نوار آدرس مرورگر تنها data:,  را نشان می‌دهد که بیانگر استفاده از طرح داده Uniform Resource Identifier است؛ این طرح برای نشان دادن محتوای فایل‌ها از رمزگذاری Base64 استفاده می‌کند.

در این مورد تهیه محتوای صفحه وب جعلی در یک رشته رمزگذاری شده در داده URI انجام می‌شود.

محققان Bitdefender اعلام کرده‌اند: از آن جایی که گوگل کروم کل رشته را نمایش نمی‌دهد در نتیجه کاربران ممکن است هدف یک حمله سرقت هویت قرار بگیرند و داده‌های آن‌ها در اختیار مجرمان سایبری قرار بگیرد.