کد QR مطلبدریافت لینک صفحه با کد QR

تبلیغات گروگان‌گیر در سایت‌های مشهور

18 خرداد 1393 ساعت 11:12

ایتنا-تبلیغات خرابكارانه‌ای در سایت‌های فیس‌بوك، دیزنی، گاردین و برخی سایت‌های دیگر كاربران را به سمت بدافزار گروگان‌گیری كه فایل‌های آنان را رمز می‌كند می‌كشاند.




سیسكو خبر از تبلیغات خرابكارانه روی دامنه‌های متعلق به دیزنی، فیس‌بوك، روزنامه گاردین و برخی كمپانی‌های دیگر داد كه كاربران را گرفتار بدافزاری می‌كنند كه فایل‌های كامپیوتر را رمزگذاری می‌كند و تا زمانی كه كاربر پول پرداخت نكند، آنها را آزاد نمی‌كند.


به گزارش ایتنا از مرکز ماهر، تحقیقات سیسكو یك روش پیچیده و مؤثر برای آلوده كردن تعداد زیادی كامپیوتر به بدافزار گروگان‌گیر را كشف كرده است.
سیسكو محصولی به نام Cloud Web Security (CWS) دارد كه مشتریانی را كه در حال مرور وب هستند نظارت می‌كند و درصورتی‌كه بخواهند به دامنه‌های مشكوك وارد شوند، گزارش می‌دهد. CWS روزانه میلیاردها درخواست صفحه وب را نظارت می‌كند.

این شركت خاطرنشان كرد كه برای بیش از ۱۷% از كاربران CWS، درخواست‌های ورودی به ۹۰ دامنه را مسدود كرده است كه بسیاری از آنها سایت‌های وردپرس بوده‌اند.

تحقیقات بیشتر نشان داده است كه بسیاری از كاربران CWS پس از مشاهده تبلیغات بر روی دامنه‌های پرترافیك مانند apps.facebook.com، awkwardfamilyohotos.com، theguardian.co.uk و go.com، به كار خود پایان داده‌اند.

البته تبلیغات خاص كه بر روی این دامنه‌ها مشاهده شده‌اند مورد بررسی قرار گرفته‌اند. چنانچه بر روی این تبلیغات كلیك شود، قربانیان وارد یكی از ۹۰ دامنه ذكر شده می‌شوند.

سبك حمله كه تحت عنوان تبلیغ بدافزاری شناخته می‌شود، مدتهاست كه به یك مشكل بدل شده است. شبكه‌های تبلیغاتی گام‌هایی را برای تشخیص و شناسایی تبلیغات خرابكارانه كه بر روی شبكه آنها قرار می‌گیرد برداشته‌اند، ولی بررسی‌های امنیتی بی عیب نیستند.

به طور معمول تبلیغات خرابكارانه به سراغ وب‌سایت‌هایی می‌روند كه از حضور این تبلیغات ناآگاه هستند. كاربران انتظار دارند كه زمانی كه به سراغ سایت معتبری می‌روند، این سایت قابل اعتماد باشد. اما به علت وجود لینك‌های متعدد به سایت‌های مختلف در عمل اینطور نیست.

۹۰ دامنه‌ای كه این تبلیغات خرابكار ترافیك را به سوی آن هدایت می‌كنند نیز هك شده‌اند. در مورد سایت‌های وردپرس به نظر می‌رسد كه مهاجمان از حملات brute force برای دسترسی به كنترل پنل سایت استفاده كرده‌اند.
سپس یك كیت سوء استفاده به نام Rig اضافه شده است كه به سیستم قربانی حمله می‌كند.

كیت سوء استفاده Rig كه نخستین بار در ماه آوریل توسط Kahu Security كشف شد، بررسی می‌كند كه آیا كاربر از یك نسخه آسیب‌پذیر فلش استفاده می‌كند یا خیر. درصورت مثبت بودن نتیجه، بلافاصله سیستم وی مورد سوء استفاده قرار می‌گیرد.

در مرحله بعدی حمله، یك برنامه گروگان‌گیر به نام Cryptowall نصب می‌شود. این برنامه فایل‌های كاربر را رمز می‌كند و از وی درخواست پول می‌نماید.

پیچیدگی این عملیات به این صورت تكمیل می‌شود كه وب‌سایتی كه كاربر می‌تواند از طریق آن پول را پرداخت كند، یك وب‌سلیا پنهان است كه از The Onion Router یا شبكه TOR استفاده می‌كند.

برای دسترسی به این وب‌سایت، كاربر باید TOR را نصب كند كه Cryptowall وی را در این مورد راهنمایی می‌كند. كسانی كه در پرداخت پول تأخیر كنند، با افزایش مبلغ آن مواجه خواهند شد.

با توجه به استفاده از TOR و زنجیره پیچیده حملات، سیسكو هنوز نتوانسته است مهاجمان پشت این حمله را شناسایی كند.


کد مطلب: 30836

آدرس مطلب: https://www.itna.ir/news/30836/تبلیغات-گروگان-گیر-سایت-های-مشهور

ايتنا
  https://www.itna.ir