استفاده گسترده مهاجمان از بسته‌های بهره‌جو

کمیته رکن چهارم – طی روزهای گذشته، مهاجمان در چندین کارزار تبلیغ‌افزاری (Malvertising Campaign)، با هدایت کاربران به صفحات اینترنتی حاوی بسته‌های بهره‌جو (Exploit Kit) اقدام به نصب بدافزارهای سارق رمز عبور، باج‌افزارها و جاسوس‌افزارها کرده‌اند.

بسیاری از صفحات اینترنتی مذکور متعلق به سایت‌های هک شده‌ای هستند که در حال حاضر در کنترل مهاجمان قرار گرفته‌اند.

به‌محض مراجعه کاربر به هر یک از این صفحات، بسته بهره‌جو به‌صورت خودکار و بدون نیاز به دخالت کاربر اقدام به سوءاستفاده از آسیب‌پذیری (Vulnerability) نرم‌افزارهای نصب شده بر روی دستگاه کرده و کد مخرب را به اجرا در می‌آورد.

از جمله بدافزارهای منتشر شده در جریان این کارزارها می‌توان به اسب تروای بانکی Ramnit اشاره کرد. بسته بهره‌جوی استفاده شده برای انتشار اسب تروای مذکور، GrandSoft گزارش شده است.

Ramnit پس از اجرا بر روی دستگاه قربانی اقدام به سرقت اطلاعات حساسی از جمله اطلاعات اصالت‌سنجی وارد شده در سایت‌های بانکی، حساب‌های کاربری در سرویس‌های FTP و سوابق مرورگر (Browser) می‌کند. ضمن اینکه Ramnit دارای قابلیتی است که امکان تزریق کد (Code Injection) در سایت‌های فراخوانی شده در مرورگر کاربر – و در نتیجه دست‌درازی به آنها – را فراهم می‌کند.

بسته بهره‌جوی Rig نیز در هفته‌های اخیر در کارزارهای تبلیغ‌افزاری به‌منظور انتشار بدافزار Amadey بکار گرفته شده است. این بسته بهره‌جو از آسیب‌پذیری‌هایی همچون CVE-2018-15982 در نرم‌افزار Flash Player و CVE-2018-8174 در مرورگر Internet Explorer سوءاستفاده می‌کند.

بدافزار Amadey ضمن افزودن دستگاه قربانی به یک شبکه مخرب (Botnet)، اقدام به سرقت اطلاعات و دریافت و اجرای سایر بدافزارها می‌کند.

سومین بسته بهره‌جوی استفاده شده در این کارزارها، Fallout است که از آسیب‌پذیری CVE-2018-8174 در مرورگر Internet Explorer و از آسیب‌پذیری CVE-2018-4878 در محصول Flash Player سوءاستفاده کرده و کد مخرب مورد نظر مهاجمان را بر روی دستگاه قربانی به‌صورت از راه دور نصب و اجرا می‌کند.

Rig و Fallout هر دو در انتشار چند نمونه از بدافزارهای موسوم به سارق بریده‌دان (Clipboard Hijacker) نقش داشته‌اند. برخی از این نمونه‌ها با تحت رصد قرار دادن بریده‌دان، در زمان قرار گرفتن نشانی کیف بیت‌کوین در آن، نشانی را با یک نشانی تحت کنترل نویسنده بدافزار جایگزین می‌کنند. بنابراین در صورت عدم دقت کاربر در زمان زدن دگمه ارسال، عملاً مبلغ وارد شده، بجای گیرنده واقعی، نصیب نویسنده بدافزار می‌شود.

از دیگر بسته‌های بهره‌جوی شاخص استفاده شده می‌توان به Radio اشاره کرد که از یک آسیب‌پذیری قدیمی با شناسه CVE-2016-0189 در مرورگر Internet Explorer سوءاستفاده می‌کند. باج‌افزار Nemty یکی از بدافزارهای منتشر شده توسط این بسته بهره‌جو بوده است.

علاوه بر Radio، بسته بهره‌جوی RIG نیز در انتشار Nemty که به‌نظر می‌رسد نویسندگان آن به‌سرعت در حال تکامل و ارتقای این باج‌افزار هستند نقش داشته است.

اصلی‌ترین راهکار در بی‌اثر کردن تهدیدات مبتنی بر بهره‌جو، نصب به‌موقع بسته‌ها و اصلاحیه‌های امنیتی (Service Packs and Updates) سیستم عامل و کلیه نرم‌افزارهای کاربردی نصب شده بر روی تمامی سیستم‌هاست. ضمن اینکه استفاده از ابزارهایی همچون WSUS و Bitdefender Patch Management برای مدیریت فرایند نصب اصلاحیه‌ها توصیه می‌شود.

منبع: شبکه گستر

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Blue Captcha Characters Below.