باج افزارها؛ حکایت همچنان باقی

در هفته‌های اخیر، مطالب متعددی در خصوص باج‌افزارها (Ransomware) در این وبلاگ منتشر شد. اما به نظر می‌رسد غوغایی که باجگیرها به راه انداخته‌اند به این زودی‌ها قصد خاموشی ندارد.

به تازگی، ظهور گونه جدیدی از باج‌افزارها گزارش شده است که بر خلاف نمونه قبلی که از طریق هرزنامه‌ها منتشر می‌شد، در پشت تبلیغات مخرب کمین می‌کند. گردانندگان این گونه جدید توانسته‌اند این تبلیغات را از طریق شبکه مجاز تبلیغات بر روی برخی سایت های معتبر و پربیننده منتشر کنند. بدین ترتیب زمانی که کاربر به این سایت ها مراجعه می‌کند با کلیک بر روی تبلیغ، به یک دامنه مخرب هدایت شده و با سوء استفاده از یک نقطه ضعف، فایل مخرب بر روی سیستم قربانی اجرا شده و اطلاعات کاربر رمز می‌شود.

نام این باج‌افزار جدید Fessleak است که برگرفته از نشانی fessleak@qip.ru می‌باشد و در ثبت نام دامنه‌های مخرب این بدافزار بکار رفته است. طبق همین اطلاعات به نظر می‌رسد نویسندگان بدافزار روسی باشند.

در اولین مرحله عملیات، نفوذگران دامنه‌ای ایجاد می‌کنند که طول عمر آن بیشتر از 8 ساعت نیست. صفحه‌ای که باج افزار بر روی آن میزبانی می‌شود، بر روی این دامنه قرار می گیرد.  برای آلوده ساختن کاربران، باج‌افزار از ضعف امنیتی Flash Player که حدود یک ماه پیش اصلاحیه آن به صورت فوری ارائه شد سواستفاده می‌کند.

پس از گذشت 8 ساعت، این دامنه کنار گذاشته شده و عملیات با دامنه‌ای جدید از نو آغاز می‌شود. سایت های HuffingtonPost.com, RT.com, Photobucket.com, CBSsports.com, HowtoGeek.com, Fark.com, Thesaurus.com و Match.com از جمله سایت هایی هستند که نفوذگران توانسته‌اند تبلیغات مخرب خود را در آنها جاسازی کنند.