طی روزهای گذشته، مهاجمان در چندین کارزار تبلیغافزاری (Malvertising Campaign)، با هدایت کاربران به صفحات اینترنتی حاوی بستههای بهرهجو (Exploit Kit) اقدام به نصب بدافزارهای سارق رمز عبور، باجافزارها و جاسوسافزارها کردهاند.
بسیاری از صفحات اینترنتی مذکور متعلق به سایتهای هک شدهای هستند که در حال حاضر در کنترل مهاجمان قرار گرفتهاند.
بهمحض مراجعه کاربر به هر یک از این صفحات، بسته بهرهجو بهصورت خودکار و بدون نیاز به دخالت کاربر اقدام به سوءاستفاده از آسیبپذیری (Vulnerability) نرمافزارهای نصب شده بر روی دستگاه کرده و کد مخرب را به اجرا در میآورد.
از جمله بدافزارهای منتشر شده در جریان این کارزارها میتوان به اسب تروای بانکی Ramnit اشاره کرد. بسته بهرهجوی استفاده شده برای انتشار اسب تروای مذکور، GrandSoft گزارش شده است.
Ramnit پس از اجرا بر روی دستگاه قربانی اقدام به سرقت اطلاعات حساسی از جمله اطلاعات اصالتسنجی وارد شده در سایتهای بانکی، حسابهای کاربری در سرویسهای FTP و سوابق مرورگر (Browser) میکند. ضمن اینکه Ramnit دارای قابلیتی است که امکان تزریق کد (Code Injection) در سایتهای فراخوانی شده در مرورگر کاربر – و در نتیجه دستدرازی به آنها – را فراهم میکند.
بسته بهرهجوی Rig نیز در هفتههای اخیر در کارزارهای تبلیغافزاری بهمنظور انتشار بدافزار Amadey بکار گرفته شده است. این بسته بهرهجو از آسیبپذیریهایی همچون CVE-2018-15982 در نرمافزار Flash Player و CVE-2018-8174 در مرورگر Internet Explorer سوءاستفاده میکند.
به گزارش شرکت مهندسی شبکه گستر، بدافزار Amadey ضمن افزودن دستگاه قربانی به یک شبکه مخرب (Botnet)، اقدام به سرقت اطلاعات و دریافت و اجرای سایر بدافزارها میکند.
سومین بسته بهرهجوی استفاده شده در این کارزارها، Fallout است که از آسیبپذیری CVE-2018-8174 در مرورگر Internet Explorer و از آسیبپذیری CVE-2018-4878 در محصول Flash Player سوءاستفاده کرده و کد مخرب مورد نظر مهاجمان را بر روی دستگاه قربانی بهصورت از راه دور نصب و اجرا میکند.
Rig و Fallout هر دو در انتشار چند نمونه از بدافزارهای موسوم به سارق بریدهدان (Clipboard Hijacker) نقش داشتهاند. برخی از این نمونهها با تحت رصد قرار دادن بریدهدان، در زمان قرار گرفتن نشانی کیف بیتکوین در آن، نشانی را با یک نشانی تحت کنترل نویسنده بدافزار جایگزین میکنند. بنابراین در صورت عدم دقت کاربر در زمان زدن دگمه ارسال، عملاً مبلغ وارد شده، بجای گیرنده واقعی، نصیب نویسنده بدافزار میشود.
از دیگر بستههای بهرهجوی شاخص استفاده شده میتوان به Radio اشاره کرد که از یک آسیبپذیری قدیمی با شناسه CVE-2016-0189 در مرورگر Internet Explorer سوءاستفاده میکند. باجافزار Nemty یکی از بدافزارهای منتشر شده توسط این بسته بهرهجو بوده است.
علاوه بر Radio، بسته بهرهجوی RIG نیز در انتشار Nemty که بهنظر میرسد نویسندگان آن بهسرعت در حال تکامل و ارتقای این باجافزار هستند نقش داشته است.
اصلیترین راهکار در بیاثر کردن تهدیدات مبتنی بر بهرهجو، نصب بهموقع بستهها و اصلاحیههای امنیتی (Service Packs and Updates) سیستم عامل و کلیه نرمافزارهای کاربردی نصب شده بر روی تمامی سیستمهاست. ضمن اینکه استفاده از ابزارهایی همچون WSUS و Bitdefender Patch Management برای مدیریت فرایند نصب اصلاحیهها توصیه میشود.