کمیته رکن چهارم – محققان امنیتی هشدار دادند که باجافزار لاکی، تهدید مخربی که در سال ۲۰۱۶ میلادی در صدر بدافزارها قرار گرفت، توسط اجرای هرزنامهها که در چند هفتهی اخیر شروع شدهاند، به صورت تهاجمی در حال توزیع است.
لاکی اولین بار در اوایل سال ۲۰۱۶ میلادی و اساسا با همکاری پویشهایی که توسط Necurs باتنت راهاندازی شده بودند، مشاهده شد. لاکی در اوایل سال ۲۰۱۷ میلادی نسبتا غیرفعال بود، اما در ماههای آوریل و ژوئن در پویشهای جدید دوباره پدیدار شد و فعالیت خود را در اوایل ماه اوت افزایش داد.
در اواخر ماه اوت، لاکی در پویشهای متعددی شروع به کار کرد و در حال حاضر در حملات بسیاری که روزانه دهها میلیون هرزنامه به کاربران سراسر جهان میفرستند، مورد استفاده قرار گرفته میگیرد. طبق گفته ترندمیکرو، این برنامهها کاربران را در بیش از ۷۰ کشور تحت تاثیر قرار میدهند. ترندمیکرو میگوید در بسیاری از حملاتی که اخیرا مشاهده شده، لاکی در کنار یک خانواده باجافزار دیگری به نام FakeGlobe، توزیع میشود. پیامهای هرزنامهای که دارای پیوندهای مخرب یا اسناد فعالشونده با دستور هستند، کاربران را به مدت یک ساعت به لاکی هدایت میکنند و سپس در مرحلهی بعد به FakeGlobe تغییر مسیر میدهند.
ترندمیکرو اشاره کرد: «این اولین بار نیست که ما میبینیم URLهای بارگیری در خدمت بدافزارها هستند. به هرحال، این بدافزار نوع متفاوتی دارد و سرقت کنندگان اطلاعات و تروجانهای بانکی همراه با این باجافزار توزیع میشوند. در حال حاضر ما میبینیم که، مجرمان سایبری دو برابر از باجافزارها استفاده میکنند که این میتواند یک خطر واقعی برای کاربران باشد.» در حالی که ترندمیکرو میگوید توانسته است تقریبا ۶۰۰ هزار رایانامه که حاوی باجافزار لاکی بودهاند را مسدود کند، محققان Barracuda، این هفته، تنها در طی یک دورهی ۲۴ ساعته بیش از ۲۷ میلیون رایانامه حاوی لاکی مشاهده کردند.
بیشتر این رایانامهها از سمت ویتنام ارسال شدهاند، اما هند، کلمبیا، ترکیه و یونان نیز تعداد پیامهای زیادی را ارسال کردهاند. به طور کلی هرزنامهها از ۱۸۵ کشور مختلف ارسال شده بودند. بیشتر کاربران آسیبدیده در آمریکا، ژاپن، آلمان و چین قرار داشتند. شرکت امنیتی پاندا نیز پویشهای توزیع گستردهای را مشاهده کرده است و تایید میکند که اجرای برنامهها در روز سهشنبه افزایش مییابد. محققان میگویند، در حال حاضر مهاجمان هر ساعت حدود یک میلیون پیام فیشینگ ارسال میکنند. بسیاری از این پیامها، بازار مجازی آمازون و صورتحساب هربالایف را جعل میکنند، اما سفارشات جعلی چاپی نیز مشاهده شده است. این رایانامهها حاوی یک بایگانی به عنوان پیوست هستند. در حالیکه در بعضی موارد پروندههای زیپ مورد استفاده قرار میگیرند، رایانامههای دیگر دارای پیوستهای .۷z یا ۷-zip هستند.
در حالی که برخی از نمونههای باجافزار که اخیرا مشاهده شده از نسخهی لاکیتوس لاکی استفاده کردهاند، نمونههای اخیر، پسوند .ykcol را به پروندههای رمزنگاریشده اضافه کردهاند. این بدافزار همچنین یادداشتهایی را به نام ykcol.htm و ykcol.bmp در سامانهی قربانی میگذارد و حدود هزار دلار را تقاضا میکند. همانطور که فورتینت اشاره میکند، پسوند .ykcol که اخیرا استفاده شده در واقع پسوند .locky اصلی است. محققان همچنین متوجه شدند که موج دوم رایانامههای حاوی هرزنامه، دارای عنوان «پیام از km_c۲۲۴e» هستند که پیش از این توسط پویشهای باجافزار Jeff و دریدکس مورد استفاده قرار میگرفت.
فورتینت میگوید: «علیرغم چند تغییر جزئی، لاکی هنوز هم مانند یک سال پیش، یک باجافزار خطرناک است. این بدافزار قابلیتها و شبکه توزیع لازم را دارد تا بتواند به سامانههایی که مورد هدفش قرار گرفتهاند، خسارت قابل توجهی وارد کند. در عرض چند ماه گذشته، ما توزیع پویشهای هرزنامهی عظیمی را دیدهایم و فکر نمیکنیم که به زودی سرعت فعالیت این پویشها کاهش یابد.»
منبع : news.asis.io
