[[{"content_id":442442,"content_number":0,"portal_id":184,"lang_id":"fa","content_title":"تسخیر هزاران وب‌سایت با هدف انتشار باج‌افزار CryptXXX","content_rtitr":"","content_short_title":null,"content_summary":"","content_summary_fill":0,"content_body":"بنابر ادعای محققین شرکت Sucuri، در دو ماه گذشته هزاران وب‌سایتِ مبتنی بر سیستم مدیریت محتوای WordPress و Jamoola تسخیر شده‌اند تا کاربران را به سمت باج‌افزارCryptXXX هدایت کنند.\r\n\r\nظاهراً این کمپین آلوده‌سازی از 20 خرداد آغاز شده است. تخمین زده می‌شود که حداقل دو هزار وب‌سایت با این هدف آلوده شده‌اند؛ اما احتمالاً آمار واقعی حدود پنج برابر این مقدار است چرا که تخمین ذکر شده بر اساس اطلاعات جمع‌آوری شده از طریق اسکنرِ SiteCheckبوده که اطلاعاتی محدود در اختیار دارد.\r\n\r\nمشخصه‌ی اصلی این حمله آن است که از دامنه‌های realstatistics[.]info وrealstatistics[.]pro استفاده می‌کند تا کاربران را به صفحه‌ی فرودِ[1] مربوط به کیتِ اکسپلویتِ Neutrino هدایت کند. Neutrino که اکنون پیشروترین تهدید در میان کیت‌های اکسپلویت به حساب می‌آید، تلاش می‌کند تا از آسیب‌پذیری‌های Flash یا PDF در سیستم‌های هدف استفاده کرده و باج‌افزار CryptXXX را نصب نماید.\r\n\r\nچند روز پیش محققین Forcepoint اعلام کردند که دامنه‌های ذکرشده، به عنوان سیستم‌های هدایت ترافیک (TDS[2]) در حمله‌های توزیع Neutrino و RIGاستفاده شده‌اند. محققین نهایتاً موفق به کشف رابطه‌ی دامنه‌ها با Blackhat‑TDS شدند. این نشان می‌دهد که آن‌ها تنها کاربران معمولی را به صفحه‌ی فرود هدایت می‌کردند، در حالی که برای رنج‌های IP مربوط به بلک‌لیست خود، صفحه‌ای پاک تحویل می‌دادند (این لیست عمدتاً مربوط به IP مربوط به فروشنده‌ها، موتورهای جستجو و سرویس‌های اسکنِ وب می‌شود).\r\n\r\nبا این حال، محققین Forcepoint مشخص نکرده‌اند که شدت این حمله و روش تسخیر وب‌سایت‌ها چگونه بوده است. Sucuri عنوان کرده که شصت درصد سایت‌های آلوده از نسخه‌های قدیمی Wordpress و Jamoola استفاده نموده و هم‌چنین حمله‌گران احتمالاً از مؤلفه‌های آسیب‌پذیری همچون پلاگین‌ها و اکستنشن‌ها استفاده کرده‌اند. محققین این شرکت معتقدند که استفاده از CMS از رده خارج‌شده، معمولاً نشان‌دهنده‌ی آن است که گردانندگان وب‌سایت احتمالاً سایر مؤلفه‌های امنیتی را نیز به‌روزرسانی نکرده‌اند.\r\n\r\nبا استفاده از هزاران وب‌سایت آلوده (که برخی سایت‌های مرتبط با امنیت همچون PCI Policy Portal را نیز شامل می‌شود)، حمله‌گران می‌توانند ده‌ها هزار کاربر را همزمان مورد حمله قرار دهند که نهایتاً موجب آلودگی بسیاری از آنها به باج‌افزار CryptXXX می‌شود. چند هفته پیش محققین SentinelOne افشاء کردند که گردانندگان CryptXXX در مدت زمان سه هفته‌ای، مبلغ پنجاه هزار دلار در تنها یک آدرسِ بیت‌کوین دست یافته‌اند.\r\n\r\nواضح است که گردانندگان حمله همواره از کیت‌های اکسپلویت حاوی بیشترین امکانات‌ترین استفاده می‌کنند. ماه پیش بلافاصله پس از اینکه Angler (که سال‌ها بالاترین کیت اکسپلویت بود) از صحنه خارج شد، حمله‌کنندگان شروع به استفاده از Neutrino کردند.\r\n\r\nCryptXXX اکنون به مهمترینِ باج‌افزارها تبدیل شده و در دو ماه گذشته چندین آپدیت برای آن ارائه شده است. آخرین آپدیت اعمال‌شده درCryptXXX عبارت است از\r\n\r\n\r\n\tتغییر متن درخواست باج\r\n\tاستفاده از یک سایت پرداخت جدید به نام Microsoft Decryptor\r\n\r\n\r\n \r\n\r\n\r\n[1] Landig Page\r\n\r\n[2] Traffic Direction Systems\r\n\r\n ","content_html":"

بنابر ادعای محققین شرکت Sucuri، در دو ماه گذشته هزاران وب‌سایتِ مبتنی بر سیستم مدیریت محتوای WordPress و Jamoola تسخیر شده‌اند تا کاربران را به سمت باج‌افزارCryptXXX هدایت کنند.<\/h4>\n\n

ظاهراً این کمپین آلوده‌سازی از 20 خرداد آغاز شده است. تخمین زده می‌شود که حداقل دو هزار وب‌سایت با این هدف آلوده شده‌اند؛ اما احتمالاً آمار واقعی حدود پنج برابر این مقدار است چرا که تخمین ذکر شده بر اساس اطلاعات جمع‌آوری شده از طریق اسکنرِ SiteCheckبوده که اطلاعاتی محدود در اختیار دارد.<\/p>\n\n

مشخصه‌ی اصلی این حمله آن است که از دامنه‌های realstatistics[.]info وrealstatistics[.]pro استفاده می‌کند تا کاربران را به صفحه‌ی فرودِ[1]<\/sup><\/sup><\/a> مربوط به کیتِ اکسپلویتِ Neutrino هدایت کند. Neutrino که اکنون پیشروترین تهدید در میان کیت‌های اکسپلویت به حساب می‌آید، تلاش می‌کند تا از آسیب‌پذیری‌های Flash یا PDF در سیستم‌های هدف استفاده کرده و باج‌افزار CryptXXX را نصب نماید.<\/p>\n\n

چند روز پیش محققین Forcepoint اعلام کردند که دامنه‌های ذکرشده، به عنوان سیستم‌های هدایت ترافیک (TDS[2]<\/sup><\/sup><\/a>) در حمله‌های توزیع Neutrino و RIGاستفاده شده‌اند. محققین نهایتاً موفق به کشف رابطه‌ی دامنه‌ها با Blackhat‑TDS شدند. این نشان می‌دهد که آن‌ها تنها کاربران معمولی را به صفحه‌ی فرود هدایت می‌کردند، در حالی که برای رنج‌های IP مربوط به بلک‌لیست خود، صفحه‌ای پاک تحویل می‌دادند (این لیست عمدتاً مربوط به IP مربوط به فروشنده‌ها، موتورهای جستجو و سرویس‌های اسکنِ وب می‌شود).<\/p>\n\n

با این حال، محققین Forcepoint مشخص نکرده‌اند که شدت این حمله و روش تسخیر وب‌سایت‌ها چگونه بوده است. Sucuri عنوان کرده که شصت درصد سایت‌های آلوده از نسخه‌های قدیمی Wordpress و Jamoola استفاده نموده و هم‌چنین حمله‌گران احتمالاً از مؤلفه‌های آسیب‌پذیری همچون پلاگین‌ها و اکستنشن‌ها استفاده کرده‌اند. محققین این شرکت معتقدند که استفاده از CMS از رده خارج‌شده، معمولاً نشان‌دهنده‌ی آن است که گردانندگان وب‌سایت احتمالاً سایر مؤلفه‌های امنیتی را نیز به‌روزرسانی نکرده‌اند.<\/p>\n\n

با استفاده از هزاران وب‌سایت آلوده (که برخی سایت‌های مرتبط با امنیت همچون PCI Policy Portal را نیز شامل می‌شود)، حمله‌گران می‌توانند ده‌ها هزار کاربر را همزمان مورد حمله قرار دهند که نهایتاً موجب آلودگی بسیاری از آنها به باج‌افزار CryptXXX می‌شود. چند هفته پیش محققین SentinelOne افشاء کردند که گردانندگان CryptXXX در مدت زمان سه هفته‌ای، مبلغ پنجاه هزار دلار در تنها یک آدرسِ بیت‌کوین دست یافته‌اند.<\/p>\n\n

واضح است که گردانندگان حمله همواره از کیت‌های اکسپلویت حاوی بیشترین امکانات‌ترین استفاده می‌کنند. ماه پیش بلافاصله پس از اینکه Angler (که سال‌ها بالاترین کیت اکسپلویت بود) از صحنه خارج شد، حمله‌کنندگان شروع به استفاده از Neutrino کردند.<\/p>\n\n

CryptXXX اکنون به مهمترینِ باج‌افزارها تبدیل شده و در دو ماه گذشته چندین آپدیت برای آن ارائه شده است. آخرین آپدیت اعمال‌شده درCryptXXX عبارت است از<\/p>\n\n