۰
چهارشنبه ۱۴ مرداد ۱۳۹۴ ساعت ۱۳:۳۳

شناسایی باج‌افزار CTB-Locker در ایمیل‌های قلابی ارتقا به ویندوز ۱۰

ایتنا - موج هرزنامه‌هایی که برای ویندوز ۱۰ به‌راه افتاده ممکن است جیب هکرها را حسابی پر پول کند، چرا که اکثرکاربران این سیستم عامل به ابزار الکترونیکی و فناوری‌های روز مجهز هستند.


به گزارش ایتنا از روابط عمومی شرکت ایدکو(توزیع کننده محصولات کسپرسکی در ایران)؛ یک هفته بعد از شروع امکان ارتقای رایگان نسخه‌های قدیمی‌تر ویندوز به ویندوز ۱۰، مطالب زیادی درباره مشکلات مربوط به امنیت و حریم خصوصی کاربران در این سیستم عامل منتشر شد. یکی از جنجال‌برانگیزترین مشکلات ویندوز ۱۰ سرویس Wi-Fi Sense است؛ قابلیتی که به سرویس‌های آنلاین امکان می‌دهد شبکه اینترنت Wi-Fi کاربران را شناسایی و به آن دسترسی پیدا کنند.

هکرها با اگاهی از این مطلب دست به کار شده‌اند. طبق انتظار هرزنامه‌ها و پیام‌های فیشینگ مربوط به ویندوز ۱۰ نیز از راه رسید و در یکی از خطرناک‌ترین این هرزنامه‌ها مهاجمان سعی می‌کنند خود را جای مایکروسافت جا بزنند تا از این طریق یک باج‌افزار روی سیستم آنها نصب کنند.

به گفته محققان مرکز تحقیقاتی Cisco TALOS هرزنامه‌ای همراه با یک فایل پیوست آلوده برای بسیاری از کاربران ارسال شده که مهاجمان آن را به‌روز رسانی جدید ویندوز ۱۰ اعلام کرده و کاربران را به دانلود و اجرای آن تشویق می‌کنند.
کاربران با اجرای این فایل آلوده که درون یک فایل زیپ قرار دارد ناآگاهانه باج‌افزار CTB-Locker را روی سیستم نصب می‌کنند. CTB-Locker عملکردی مشابه اغلب باج‌افزارها دارد؛ این بدافزار از طریق ایمیل منتشر شده، کاربران قربانی آن را دانلود می‌کنند و باج‌افزار بعد از نفوذ به سیستم، اسناد و فایل‌های کابران را رمزگذاری کرده و در ازای رمزگشایی آنها از آنها پول اینترنتی بیت‌کوین طلب می‌کند. این بدافزار ۹۶ ساعت به کاربران مهلت پرداخت می‌دهد که این مدت زمان کوتاه‌تر از ضرب‌العجل باج‌افزارهای مشابه است.

باج‌افزار CTB که مخفف Curve-Tor-Bitcoin بوده و با نام Critroni هم شناخته می‌شود از شیوه‌ای با عنوان elliptic curve cryptography برای رمزنگاری استفاده می‌کند که مهاجمان در آن از طریق شبکه ناشناس Tor کنترل عملیات مربوط به اخذ باج و رمزگشایی را در دست می‌گیرند.

موج هرزنامه‌هایی که برای ویندوز ۱۰ به‌راه افتاده ممکن است جیب هکرها را حسابی پر پول کند، چرا که اکثرکاربران این سیستم عامل به ابزار الکترونیکی و فناوری‌های روز مجهز هستند. علاوه بر این کاربران برای ارتقای رایگان سیستم عامل خود به ویندوز ۱۰ باید در صف منتظر بمانند. این درحالیست که بعضی از هرزنامه‌ها کاربران را گول می‌زنند که یک ایمیل رسمی برای ارتقای سیستم عامل خود از سوی مایکروسافت دریافت کرده‌اند؛ اما به اعلام مایکروسافت، ارتقا و به‌روز رسانی معتبر برای ویندوز نه از طریق ایمیل بلکه از طریق دانلود مستقیم صورت می‌گیرد.
اما این ایمیل‌ها چندان هم بی‌عیب و نقص نبوده و نکاتی دارند که جعلی بودن آنها را نشان می‌دهد.

Cisco TALOS در پیامی در وبلاگ خود نوشت: «(در این هرزنامه‌ها) بعضی از حروف و کاراکترها به درستی کنار هم نمی‌نشینند. این مساله ممکن است به دلیل جامعه کاربری هدف آنها باشد که امکان خوانش بعضی از حروف روی سیستم آنها تعبیه نشده و یا به دلیل استفاده مهاجمان از کاراکترها و حروف‌های غیراستاندارد جهانی باشد.»
مهاجمان با گنجاندن دو ویژگی عمده دیگر در این هرزنامه‌ها سعی می‌کنند ظاهر موجهی به آنها ببخشند؛ یکی استفاده از زبان و بیانی مشابه ایمیل‌ها و پیام‌های مایکروسافت و دیگری پیام هشداری که ادعا می‌کند این ایمیل به‌وسیله MailScanner اسکن شده و سالم است.
«این هرزنامه حاوی لینکی به یک فیلتر ایمیل معتبر و متن باز است به همین دلیل برخی کاربران خیال می‌کنند فایل پیوست آن سالم و مطمئن است.»

محققان همچنین شیوه رمزنگاری CTB-Locker را بهینه‌تر از اغلب باج‌افزارهای مشابه دانستند. کارشناسان Cisco با بررسی مرکز کنترل و فرمان CTB-Locker دریافتند که این بدافزار از آدرس‌های اینترنتی روی پورت‌های نظیر ۹۰۰۱، ۴۴۳، ۱۴۴۳ و ۶۶۶ استفاده می‌کند. Cisco همچنین اعلام کرد که برای تماس‌ها و ارتباطات این باج‌افزار پورت ۲۱ به‌کار گرفته شده است، پورتی که عمدتا برای ترافیک FTP خروجی استفاده می‌شود.

Cisco در قسمت دیگری از گزارش خود نوشت: «حجم قابل توجهی از داده‌ها بین سیستم‌ها رد و بدل می‌شود که این یک مساله عجیب در مورد باج‌افزارهاست. بررسی‌های ترافیک شبکه نشان می‌دهد که ترافیک حدود ۱۰۰ شبکه از طریق آدرس‌های IP گوناگون در جریان بوده است.»
 
کد مطلب: 37478
نام شما
آدرس ايميل شما