نفوذ کاربران آلوده به سایت هایی که بازدید می کنند
اخیرا یک شبکه مخرب (Botnet) جدیدی کشف شده که کامپیوترهای آلوده و تحت کنترل خود را وادار می کند تا با شناسایی سایت های آسیب پذیر، اقدام به سرقت اطلاعات از آنها نموده و یا آن سایت ها را آلوده نمایند.
این شبکه مخرب که از سوی گردانندگان آن Advanced Power نامیده می شود، طی شش ماه گذشته بیش از 1800 سایت آسیب پذیر به حملات SQL Injection را شناسایی کرده است.
نقاط ضعف امنیتی از نوع SQL Injection در نرم افزارهای تحت وب، این امکان را به نفوذگران می دهد تا با ارسال فرامین مخرب به بانک اطلاعاتی نرم افزار، به رمز عبور و داده های بانک دسترسی غیرمجاز پیدا کنند و یا با پنهان ساختن پیوند (Link) های مخرب در صفحات سایت، مراجعه کنندگان را به سایت های مخرب مورد نظر هدایت نمایند.
بدافزاری که توسط شبکه مخرب Advanced Power برروی کامپیوترهای تحت کنترل نصب می شود، خود را در ظاهر بعنوان یک افزونه (add-on) مرورگر Firefox نشان می دهد. نام این افزونه Microsoft.Net Framework است ولی هیچ ارتباطی با افزونه واقعی و همنام ندارد. در حال حاضر مرورگر Firefox این افزونه جعلی و مخرب را تشخیص داده و مانع از اجرای آن می شود.
کامپیوترهایی که آلوده شده و تحت کنترل شبکه مخرب Advanced Power در می آیند، تمام سایت هایی را که کاربر به آنها مراجعه می کند، برای پیدا کردن نقاط ضعف امنیتی مختلف جستجو می کند. در صورت فراهم بودن شرایط سوءاستفاده از نقاط ضعف شناسایی شده بر روی سایت آسیب پذیر، با انجام حملات SQL Injection به سایت نفوذ شده و علاوه بر سرقت رمز عبور و داده های بانک اطلاعاتی سایت، برنامه های مخربی نیز در صفحات سایت بطور پنهانی کار گذاشته می شود. بدین ترتیب، کاربرانی که منبعد به این صفحات دستکاری شده مراجعه می کنند، دچار عوارض ناشی از اجرای این برنامه های مخرب خواهند شد.
هنوز مشخص نیست که کامپیوترها چگونه تحت کنترل و فرمان شبکه مخرب Advanced Power در می آیند. احتمال داده می شود که بدافزارهای مرتبط با این شبکه مخرب در قالب نرم افزارهای کاربردی که در ظاهر برای کاربر مفید و سودمند بنظر می آیند، بر روی کامپیوتر نصب و فعال می شوند.
آلودگی کامپیوترهای تحت کنترل شبکه مخرب Advanced Power توسط ضدویروس McAfee با نام RDN/Pws-Banker!ce شناسایی می گردد.
در تصویر، سمت چپ، نشانی سایت هایی است که کاربر مراجعه کرده و در سمت راست، فهرست سایت هایی آسیب پذیری است که مورد حملات SQL Injection قرار گرفته اند.
