به‌روزرسانی جعلی فونت‌ در کروم با هدف ارسال باج‌افزارها

این‌گونه به نظر می‌رسد که این کمپین بدافزاری اولین بار در تاریخ 10 دسامبر 2016 از سوی پژوهشگران امنیتی شرکت Proofprint شناسایی شده است. این کمپین در آن زمان بدافزار مخرب تبلیغاتی Fleercivet را توزیع می‌کرد. اما به تازگی رویکرد خود را تغییر داده و کاربران مرورگر کروم در پلتفرم ویندوز را هدف قرار داده است. این کمپین برای فریب دادن کاربران از روش‌های هوشمندانه مهندسی اجتماعی استفاده می‌کند. در سازوکار جدید کدهای مخرب به درون سایت‌ها تزریق شده و ردپایی از بازدیدکنندگان را ضبط می‌کنند. در ادامه اگر شرایط مهیا شود در زمان بازدید کاربر از سایت هدف، متن درون سایت به یک فرمت غیر قابل خواندنی تبدیل شده و در ادامه به کاربر اعلام می‌دارد برای مشاهده درست محتوای سایت باید فونت جدیدی را در مرورگر خود نصب کند تا بتواند محتوا را به شکل درستی مشاهده کند.

مطلب پیشنهادی

تحت عنوان بازی «کلیک‌ می»

یک باج‌افزار مخرب در کمین کاربران ایرانی!

کاربرانی که قربانی این کمپین شده‌اند اعلام کرده‌اند: «مرورگر آن‌ها این توانایی را نداشته است تا فونت‌های ادعا شده را پیدا کرده و آن‌ها را نصب کند. همچنین فرآیند نصب بدافزار به سرعت پایان می‌پذیرد.» عده دیگری از کاربران اعلام داشته‌اند که قادر نبودند روی سمبل ضربدار در پنجره هشداری که به آن‌ها نشان داده می‌شد کلیک کنند. همچنین در صورت تایید به‌روزرسانی نیز بدافزار در یک چشم برهم زدن روی سیستم قربانی نصب می‌شود. برد دانکان، تحلیل‌گر تهدیدات هوشمندانه در شرکت Palo Alto در این ارتباط گفته است: «این کمپین به تازگی رویه کاری خود را تغییر داده و به جای نصب یک بدافزار یک باج‌افزار به نام spora  را نصب می‌کند. اما مکانیزم آلوده‌سازی همانند گذشته است. با این تفاوت که این‌بار به جای Chrome_Font.exe فایل Update.exe دانلود می‌شود. زمانی که کاربری به یک سایت آلوده مراجعه می‌کند یک پیغام جعلی به نمایش درآمده و باج‌افزار به جای به‌روزرسانی یک فونت‌ نصب می‌شود.»

مطلب پیشنهادی

حمله باج‌افزاری به دوربین‌های CCTV

نفوذ هکرها به دوربین‌های مداربسته پلیس واشنگتن

باج‌افزار Spora اولین بار در ژانویه 2017 شناسایی شد. کارشناسان امنیتی این باج‌افزار را یک نمونه پیشرفته و هوشمندانه توصیف کرده‌اند. این باج‌افزار نه تنها از الگوریتم‌های رمزنگاری قدرتمند استفاده می‌کند، بلکه سازوکار طراحی سایتی که به منظور دریافت باج‌ مورد استفاده قرار می‌گیرد نیز دقیق بوده است. جالب‌تر آن‌که در کنار باج‌افزار فوق یکسری بسته‌های پیشنهادی به کاربر نشان می‌دهد. همین موضوع نشان می‌دهد که کارشناسان دنیای امنیت با یک تیم حرفه‌ای و قدرتمند از هکرها روبرو هستند. باج‌افزار فوق از تابع CryptoAPI ویندوز در تعامل با الگوریتم‌های رمزنگاری RSA و AES استفاده می‌کند. سازوکار باج‌افزار فوق به این شکل است که از طریق یک سلسله فرآیند‌های پیچیده قادر است کلیدی را تولید کند. در نتیجه بدون آن‌که به سرور کنترل و فرمان‌دهی نیازی داشته باشد، این توانایی را دارد تا فایل‌های کاربران را رمزنگاری کند.