محققان سیسکو درباره پویشهای جدید باجافزاری باتنت Necurs هشدار دادهاند.
هشدار کارشناسان امنیتی سیسکو
بازگشت باتنت Necurs
وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات , 4 بهمن 1395 ساعت 13:00
محققان سیسکو درباره پویشهای جدید باجافزاری باتنت Necurs هشدار دادهاند.
محققان سیسکو درباره پویشهای جدید باجافزاری باتنت Necurs هشدار دادهاند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، گروه امنیت سیسکو اعلام کرد که متوجه ترافیکی از باتنت خفته Necurs شدهاست. این محققان درباره احتمال پیدایش پویشهای باجافزاری جدید توسط این باتنت هشدار دادند.
در پستی که سیسکو منتشر کردهاست، میخوانیم: «تحقیقات گروه تالوس نشان میدهد فعالیت هرزنامههای Locky مجدداً افزایش یافتهاست ولی هنوز به شدت گذشته نرسیدهاست. سرانجام چند روز پیش شاهد پویشهای هرزنامهای بودیم که باجافزار Locky را توزیع میکردند. تفاوت فاحش در این هرزنامهها مربوط به مقدار و حجم توزیع باجافزار است. ما بهطور معمول صدها و هزاران هرزنامه را شاهد هستیم.»
در زمان نگارش این خبر، محققان امنیتی تنها هزار نمونه از پیامهای هرزنامهای باتنت Necurs را پیدا کردهاند، اما شرایط ممکن است خطرناکتر از وضعیت فعلی بشود. باتنت Necurs یک از بزرگترین معماریهای تهدید در دنیاست که برای توزیع تروجان بانکی Dridex و باجافزار Locky مورد استفاده قرار میگرفت و از ۱۲ خردادماه سال جاری ناپدید شدهبود.
در مهرماه سال ۹۴، تعدادی از آژانسهای اطلاعاتی و مراجع قانونی با کمک هم باتنت Necurs را تخریب کردند ولی این باتنت دوباره به صحنه تهدیدات سایبری بازگشت و با قدرت هرچه تمام به توزیع باجافزار Locky پرداخت. درحالحاضر نیز باتنت Necurs توسط مهاجمان سایبری برای توزیع باجافزار Locky استفاده میشود و در هفته گذشته تعداد حملات سایبری افزایش چشمگیری داشتهاست.
محققان سیسکو گفتند: «تا اوایل دیماه، شاهد هیچ فعالیتی از باجافزار Locky نبودیم ولی در چند روز گذشته پویشهای هرزنامهای را مشاهده کردهایم که به توزیع این باجافزار میپردازند. تنها تفاوتی که وجود دارد در تعداد هرزنامههای ارسالی است. قبلاً میدیدیم برای توزیع باجافزار صدها و هزاران هرزنامه ارسال میشد، ولی درحالحاضر کمتر از هزار هرزنامه برای توزیع باجافزار Locky مشاهده شدهاست. با این کاهش در تعداد هرزنامهها، شاید در آینده شاهد تغییرات دیگری در این پویشها باشیم.»
محققان سیسکو در بررسیهای اخیر خود دو پویش را مشاهده کردهاند که تا حدودی با پویشهای قبلی تفاوت دارند. در یکی از این پویشها یک پرونده zip که در هرزنامه موجود است، یک نصبکننده بدافزار را بر روی رایانه قربانی قرار میدهد. وقتی پرونده zip باز شود، یک پرونده JSE این قابلیت را دارد که باجفزار Locky و تروجان Kovter را بر روی سامانه قربانی بارگیری و نصب کند.
در پویش دوم به جای استفاده از پرونده zip از یک پرونده RAR استفادهمیشود. اگر قربانی پروندههای موجود در آن را استخراج کند با یک پرونده جاوا اسکریپت به نام doc_details.js مواجه خواهدشد.
کد مطلب: 12270