کمیته رکن چهارم – محققان امنیتی در طول چند هفته اخیر شاهد رشد چشمگیری در ارسال هرزنامههایی بودند که حاوی پرونده جاوا اسکریپت بهعنوان ضمیمه بودند که تلاشمیکردند بدافزارهای مشهوری همچون باجافزار Locky را توزیعکنند.
به گزارش کمیته رکن چهارم،محققان Trustwave در ماه فوریه کمپین ارسال هرزنامهای را کشفکردند که عوامل پشت باتنت Dridex روش توزیع در آن را تغییر دادند که به جای ارسال ماکروهای مخرب مایکروسافت با ضمیمههای جاوا اسکریپت سازگار شدهاست. در این کمپین بار داده باجافزار Locky است. چیزی که بدیهی است اینکه باجافزارها و باتنت Dridex باهم متصل هستند.
هماکنون محققان Proofpoint افزایشی چشمگیر در ایمیلهایی با ضمیمه .jsبهجای پروندههای مایکروسافت مشاهدهکردهاند. همچنین در این کمپین شاهد ارسال هزاران هرزنامه به کاربران مختلف بودهاند. به گفته محققان این کمپین مبتنیبر استفاده از باتنت است که برای توزیع این ایمیلها از آن استفاده میشود.
اندازه این کمپین نشان از آن دارد که مهاجمان در حال سرمایهگذاری بر روی ضمیمههای جاوا اسکریپت هستند زیرا کاربران با احتمال بیشتری نسبت به ضمیمههای اجرایی بر روی این ضمیمههای جاوا اسکریپت کلیکمیکنند.
کاربران یاد گرفتهاند که بر روی ضمیمههای اجرایی کلیکنکنند ولی شاید خیلی از آنها نمیدانند که پروندههای جاوا اسکریپت چه هستند و یا اینکه این پروندهها چقدر میتوانند خطرناک باشند. آیکون پرونده شبیه به یک سند که میتواند یک کاربر ناآشنا را بهراحتی گول بزند.
بار داده نهایی در این کمپین منحصراً Dridex و Locky است هرچند که نوع یکسانی از این ضمیمههای مخرب برای توزیع Teslacrypt و CryptoWall نیز قبلاً مورد استفاده قرارمیگرفت. بههرحال محققان میگویند حقه و فریبی که در کمپین جدید وجود دارد مشابه نمونههایی است که قبلاً اجرا میشد و از ضمیمههای مایکروسافت استفادهمیکرد.
علاوهبر این مؤسسه امنیتی ESET اشارهکرد که حجم عظیمی از بدافزار JS/Danger.ScriptAttachment را شناسایی کردهاست. این بدافزار خود به تنهایی چیز خاصی نیست ولی نصبکنندهای با هدف بارگیری بدافزارهای دیگر بر روی سامانه قربانی طراحی شدهاست. بدافزارهایی از خانواده باجافزارهای-رمزنگار همچون Locky که بار داده بسیاری از این بدافزارها را شامل میشود.
این بدافزار از طریق ضمیمههای ایمیلی توزیع میشود و از تکنیکهای مهندسی اجتماعی استفادهمیکند تا کاربر از همهجا بیخبر آن ضمیمه را اجراکند. مؤسسه ESETکه باجافزار را بزرگترین تهدید حال حاضر معرفی کردهاست، آمار جدیدی منتشرکرده که کشورهای تحت تأثیر آن عبارتند از: لوکزامبورگ (۶۷درصد)، جمهوری چک (۶۰درصد)، اتریش (۵۷درصد)، هلند (۵۴درصد) و انگلستان (۵۱درصد).
محققان Proofpoint اظهارمیکنند که منشأ اصلی این کمپین ارسال ایمیل، باتنتی در سرتاسر دنیا است اما بزرگترین بازه آدرسهای IP در هند و ویتنام قرار دارد.
تعداد زیادی از ایمیلهای این کمپین طوری از طرف مهاجمان ارسال شدهاست که اطمینان حاصل شود ایمیل حتماً به دست گیرندگان بدونمحافظت رسیدهاست. علاوهبر این از آنجا که پروندههای پیوستشده بلافاصله بهعنوان مخرب شناسایی نمیشوند، شانس موفقیت این ایمیل حاوی ضمیمه مخرب بالا خواهدبود.
مرجع : وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات
