ایتنا-تبلیغات خرابكارانهای در سایتهای فیسبوك، دیزنی، گاردین و برخی سایتهای دیگر كاربران را به سمت بدافزار گروگانگیری كه فایلهای آنان را رمز میكند میكشاند.
سیسكو خبر از تبلیغات خرابكارانه روی دامنههای متعلق به دیزنی، فیسبوك، روزنامه گاردین و برخی كمپانیهای دیگر داد كه كاربران را گرفتار بدافزاری میكنند كه فایلهای كامپیوتر را رمزگذاری میكند و تا زمانی كه كاربر پول پرداخت نكند، آنها را آزاد نمیكند.
به گزارش ایتنا از مرکز ماهر، تحقیقات سیسكو یك روش پیچیده و مؤثر برای آلوده كردن تعداد زیادی كامپیوتر به بدافزار گروگانگیر را كشف كرده است. سیسكو محصولی به نام Cloud Web Security (CWS) دارد كه مشتریانی را كه در حال مرور وب هستند نظارت میكند و درصورتیكه بخواهند به دامنههای مشكوك وارد شوند، گزارش میدهد. CWS روزانه میلیاردها درخواست صفحه وب را نظارت میكند.
این شركت خاطرنشان كرد كه برای بیش از ۱۷% از كاربران CWS، درخواستهای ورودی به ۹۰ دامنه را مسدود كرده است كه بسیاری از آنها سایتهای وردپرس بودهاند.
تحقیقات بیشتر نشان داده است كه بسیاری از كاربران CWS پس از مشاهده تبلیغات بر روی دامنههای پرترافیك مانند apps.facebook.com، awkwardfamilyohotos.com، theguardian.co.uk و go.com، به كار خود پایان دادهاند.
البته تبلیغات خاص كه بر روی این دامنهها مشاهده شدهاند مورد بررسی قرار گرفتهاند. چنانچه بر روی این تبلیغات كلیك شود، قربانیان وارد یكی از ۹۰ دامنه ذكر شده میشوند.
سبك حمله كه تحت عنوان تبلیغ بدافزاری شناخته میشود، مدتهاست كه به یك مشكل بدل شده است. شبكههای تبلیغاتی گامهایی را برای تشخیص و شناسایی تبلیغات خرابكارانه كه بر روی شبكه آنها قرار میگیرد برداشتهاند، ولی بررسیهای امنیتی بی عیب نیستند.
به طور معمول تبلیغات خرابكارانه به سراغ وبسایتهایی میروند كه از حضور این تبلیغات ناآگاه هستند. كاربران انتظار دارند كه زمانی كه به سراغ سایت معتبری میروند، این سایت قابل اعتماد باشد. اما به علت وجود لینكهای متعدد به سایتهای مختلف در عمل اینطور نیست.
۹۰ دامنهای كه این تبلیغات خرابكار ترافیك را به سوی آن هدایت میكنند نیز هك شدهاند. در مورد سایتهای وردپرس به نظر میرسد كه مهاجمان از حملات brute force برای دسترسی به كنترل پنل سایت استفاده كردهاند. سپس یك كیت سوء استفاده به نام Rig اضافه شده است كه به سیستم قربانی حمله میكند.
كیت سوء استفاده Rig كه نخستین بار در ماه آوریل توسط Kahu Security كشف شد، بررسی میكند كه آیا كاربر از یك نسخه آسیبپذیر فلش استفاده میكند یا خیر. درصورت مثبت بودن نتیجه، بلافاصله سیستم وی مورد سوء استفاده قرار میگیرد.
در مرحله بعدی حمله، یك برنامه گروگانگیر به نام Cryptowall نصب میشود. این برنامه فایلهای كاربر را رمز میكند و از وی درخواست پول مینماید.
پیچیدگی این عملیات به این صورت تكمیل میشود كه وبسایتی كه كاربر میتواند از طریق آن پول را پرداخت كند، یك وبسلیا پنهان است كه از The Onion Router یا شبكه TOR استفاده میكند.
برای دسترسی به این وبسایت، كاربر باید TOR را نصب كند كه Cryptowall وی را در این مورد راهنمایی میكند. كسانی كه در پرداخت پول تأخیر كنند، با افزایش مبلغ آن مواجه خواهند شد.
با توجه به استفاده از TOR و زنجیره پیچیده حملات، سیسكو هنوز نتوانسته است مهاجمان پشت این حمله را شناسایی كند.