افزایش انتشار باج ‌افزار CryptoShield از طریق بسته نفوذی RIG

[IrIsT]

بسته‌ی نفوذی RIG با وجود کاهش میزان عمل‌کرد موارد مشابه خود همچنان فعال مانده است، اخیراً این بسته‌ی نفوذ دست به انتشار گونه‌ی نسبتاً جدیدی از باج‌افزار به نام CryptoShield زده است.
عامل اصلی این ماجرا گروهی است که به استفاده از EITest برای توزیع بدافزار شهرت دارد؛ این گروه با استفاده از کمپین‌های تبلیغ‌افزاری و وب‌گاه‌هایی که مورد نفوذ مهاجمان سایبری است اقدام به آلوده ساختن سامانه‌ی قربانی‌ها می‌نماید، از آغاز سال ۲۰۱۷ میلادی تاکنون CryptoShield مهم‌ترین محتوای مخرب حاصل از این بسته‌ی نفوذی بوده است.
براد دانکن از مؤسسه‌ی امنیت سایبری SANS گفت که متوجه شده که اخیراً میزان فعالیت EITest رو به افزایش گذاشته است.
«من متوجه سطح قابل توجهی از ترافیک ناشی از EITest شده‌ام. EITest از ۲۰۱۴ تاکنون به عنوان یک مؤلفه‌ی مخرب شناخته شده است. EITest به توزیع سایر گونه‌های بدافزاری شهرت دارد، اما من توانسته‌ام تعداد بی‌شماری باج‌افزار CryptoShield را رصد کنم که حدوداً از یک هفته‌ی قبل تاکنون از این بسته‌ی نفوذی سر بیرون آورده‌اند.»
CryptoShield از نوادگان CryptoMix است که توسط محققی به نام کافئین و هنگام انتشار در کمپین‌های EITest کشف شده است. EITest جاوااسکریپت را در وب‌گاه‌ها یا آگهی‌های تبلیغاتی تزریق می‌کند، این کد تزریق‌شده منجر به برقراری تماس با نفوذگر و انتشار محتوای مخرب باج‌افزار می‌شود.
تحلیل‌های انجام‌شده توسط BleepingComputer نشان می‌دهند که هرگاه CryptoShield رایانه‌ای را آلوده کند، یک شناسه‌ی منحصربه‌فرد و یک کلید رمزنگاری مخصوص آن دستگاه را ایجاد می‌کند، سپس پرونده‌های ذخیره‌شده در آن درایو محلی را رمزگذاری می‌نماید. همه‌ی پرونده‌های رمزشده با یک پسوند CRYPTOSHIELD. برچسب‌گذاری می‌شوند.
هروقت مرورگر قربانی با یک وب‌گاه آلوده یا وب‌گاه میزبان یک آگهی تبلیغاتی آلوده مواجه می‌شود، دستگاه میزبان آلوده می‌شود. دو پیام بالاپر ساخته می‌شود، یکی از آن‌ها یک خطای مربوط به برنامه‌ی کاربردی است و دیگری یک پیام User Account Control می‌باشد. هرگاه روی یکی از این پیام‌ها کلیک شود، یک پرونده‌ی متنی همراه با دستورالعمل‌های رمزگشایی و پرداخت باج روی دسکتاپ به نمایش درمی‌آید.
دانکن توانست دو آدرس IP و دامنه‌ی مربوط به CryptoShield شناسایی کند. (۱۹۴[.]۸۷[.]۹۳[.]۵۳ برای need[.]southpadreforsale[.]com و ۱۹۴[.]۸۷[.]۹۳[.]۵۳ برای star[.]southpadrefishingguide[.]com و نیز ۴۵[.]۶۳[.]۱۱۵[.]۲۱۴ برای اتصالات پس از آلودگی).
دانکن می‌گوید این آدرس‌های IP و دامنه‌های مربوط به ترافیک RIG به‌صورت روزانه تغییر می‌کنند، گاهی اوقات هم سریع‌تر عوض می‌شوند.
به نظر می‌‌رسد که این آلودگی از طریق وب منتشر شده و با بسته‌ی نفوذی RIG توزیع شده است نه به واسطه‌ی کمپین‌های مبتنی بر رایانامه. با این حال بسته‌ی نفوذی RIG همچنان خود را به عنوان یکی از فعال‌ترین بسته‌های نفوذی معرفی می‌کند.
در شرایطی که از تابستان گذشته دیگر اثری از بسته‌های نفوذی غول‌آسایی همچون Angler دیده نشده، تکیه بر بسته‌های نفوذی برای توزیع بدافزار به میزان قابل توجهی رو به کاهش گذاشته است.
دانکن گفت: «بسته‌ی نفوذی Rig شایع‌ترین بسته‌ای است که من تا به حال دیده‌ام. البته Rig تنها بسته‌ی نفوذی موجود نیست. سایر بسته‌ها نظیر Magnitude و Sundown هنوز فعال هستند و من هر روز نشانه‌هایی از وجود آن‌ها را به چشم خود می‌بینم. اما از نظر حجم رؤیت‌شده، بیشترین نشانه‌ها متعلق به بسته‌ی نفوذی Rig است. در واقع اکثر (۵۰٪) نشانه‌های مربوط به وجود بسته‌های نفوذی که من تا به حال موفق به مشاهده‌ی آن‌ها شده‌ام مربوط به Rig بوده‌اند.»

منبع : تیم امنیتی , تیم هکری , تیم اکسپلویت , تیم تحقیقاتی iedb.ir