امنیت

فناوری اطلاعات

August 12, 2016
19:24 جمعه، 22ام مردادماه 1395
کد خبر: 78965

تسخیر هزاران وب‌سایت وردپرس و جوملا

بنابر ادعای محققان شرکت Sucuri در دو ماه گذشته هزاران وب‌سایت مبتنی بر سیستم مدیریت محتوای وردپرس و جوملا تسخیر شده‌اند تا کاربران را به سمت باج‌افزار CryptXXX هدایت کنند.
 
در حالیکه گفته می‌شود این کمپین آلوده‌سازی از 20 خرداد آغاز شده، تخمین زده می‌شود که حداقل دو هزار وب‌سایت با این هدف آلوده شده باشند.
 
اما احتمالا آمار واقعی حدود پنج برابر این مقدار است چرا که تخمین ذکر شده بر اساس اطلاعات جمع‌آوری شده از طریق اسکنر SiteCheck  بوده که اطلاعاتی محدود در اختیار دارد.
 
مشخصه اصلی این حمله آن است که از دامنه‌های realstatistics[.]info و realstatistics[.]pro استفاده می‌کند تا کاربران را به صفحه فرود (Landig Page) مربوط به کیت اکسپلویت Neutrino هدایت کند.
 
Neutrino که اکنون پیشروترین تهدید در میان کیت‌های اکسپلویت به حساب می‌آید، تلاش می‌کند تا از آسیب‌پذیری‌های Flash یا PDF  در سیستم‌های هدف استفاده کرده و باج‌افزار CryptXXX را نصب نماید.
 
چند روز پیش محققان Forcepoint اعلام کردند که دامنه‌های ذکرشده به عنوان سیستم‌های هدایت ترافیک در حمله‌های توزیع Neutrino  و RIG استفاده شده‌اند.
 
محققان نهایتاً موفق به کشف رابطه دامنه‌ها با Blackhat‑TDS شدند. این نشان می‌دهد که آنها تنها کاربران معمولی را به صفحه فرود هدایت می‌کردند در حالیکه برای رنج‌های IP مربوط به بلک‌لیست خود، صفحه‌ای پاک تحویل می‌دادند (این لیست عمدتاً مربوط به IP مربوط به فروشنده‌ها، موتورهای جستجو و سرویس‌های اسکنِ وب می‌شود.)
 
با این حال، محققان Forcepoint مشخص نکرده‌اند که شدت این حمله و روش تسخیر وب‌سایت‌ها چگونه بوده است.
 
Sucuri عنوان کرده که شصت درصد سایت‌های آلوده از نسخه‌های قدیمی وردپرس و جوملا و همچنین حمله‌گران احتمالاً از مؤلفه‌های آسیب‌پذیری همچون پلاگین‌ها و اکستنشن‌ها استفاده کرده‌اند.
 
محققان این شرکت معتقدند که استفاده از CMS از رده خارج شده معمولاً نشان‌دهنده‌ آن است که گردانندگان وب‌سایت احتمالاً سایر مؤلفه‌های امنیتی را نیز به‌روزرسانی نکرده‌اند.
 
با استفاده از هزاران وب‌سایت آلوده (که برخی سایت‌های مرتبط با امنیت همچون PCI Policy Portal را نیز شامل می‌شود)، حمله‌گران می‌توانند ده‌ها هزار کاربر را همزمان مورد حمله قرار دهند که نهایتاً موجب آلودگی بسیاری از آنها به باج‌افزار CryptXXX  می‌شود.
 
چند هفته پیش محققان SentinelOne افشاء کردند که گردانندگان CryptXXX در مدت زمان سه هفته‌ای، مبلغ پنجاه هزار دلار در تنها یک آدرس بیت‌کوین دست یافته‌اند.
 
واضح است که گردانندگان حمله همواره از کیت‌های اکسپلویت حاوی بیشترین امکانات استفاده می‌کنند. ماه پیش بلافاصله پس از اینکه ( Angler که سال‌ها بالاترین کیت اکسپلویت بود) از صحنه خارج شد، حمله‌کنندگان شروع به استفاده از Neutrino کردند.
 
CryptXXX اکنون به مهمترین باج‌افزارها تبدیل شده و در دو ماه گذشته چندین آپدیت برای آن ارائه شده است. آخرین آپدیت اعمال شده در CryptXXX عبارت است از 1.تغییر متن درخواست باج و 2. استفاده از یک سایت پرداخت جدید به نام Microsoft Decryptor.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.