بنابر ادعای محققین شرکت Sucuri، در دو ماه گذشته هزاران وبسایتِ مبتنی بر سیستم مدیریت محتوای WordPress و Jamoola تسخیر شدهاند تا کاربران را به سمت باجافزار CryptXXX هدایت کنند.
ظاهراً این کمپین آلودهسازی از 20 خرداد آغاز شده است. تخمین زده میشود که حداقل دو هزار وبسایت با این هدف آلوده شدهاند؛ اما احتمالاً آمار واقعی حدود پنج برابر این مقدار است چرا که تخمین ذکر شده بر اساس اطلاعات جمعآوری شده از طریق اسکنرِ SiteCheck بوده که اطلاعاتی محدود در اختیار دارد.
مشخصهی اصلی این حمله آن است که از دامنههای realstatistics[.]info و realstatistics[.]pro استفاده میکند تا کاربران را به صفحهی فرودِ[1] مربوط به کیتِ اکسپلویتِ Neutrino هدایت کند. Neutrino که اکنون پیشروترین تهدید در میان کیتهای اکسپلویت به حساب میآید، تلاش میکند تا از آسیبپذیریهای Flash یا PDF در سیستمهای هدف استفاده کرده و باجافزار CryptXXX را نصب نماید.
چند روز پیش محققین Forcepoint اعلام کردند که دامنههای ذکرشده، به عنوان سیستمهای هدایت ترافیک (TDS[2]) در حملههای توزیع Neutrino و RIG استفاده شدهاند. محققین نهایتاً موفق به کشف رابطهی دامنهها با Blackhat‑TDS شدند. این نشان میدهد که آنها تنها کاربران معمولی را به صفحهی فرود هدایت میکردند، در حالی که برای رنجهای IP مربوط به بلکلیست خود، صفحهای پاک تحویل میدادند (این لیست عمدتاً مربوط به IP مربوط به فروشندهها، موتورهای جستجو و سرویسهای اسکنِ وب میشود).
با این حال، محققین Forcepoint مشخص نکردهاند که شدت این حمله و روش تسخیر وبسایتها چگونه بوده است. Sucuri عنوان کرده که شصت درصد سایتهای آلوده از نسخههای قدیمی Wordpress و Jamoola استفاده نموده و همچنین حملهگران احتمالاً از مؤلفههای آسیبپذیری همچون پلاگینها و اکستنشنها استفاده کردهاند. محققین این شرکت معتقدند که استفاده از CMS از رده خارجشده، معمولاً نشاندهندهی آن است که گردانندگان وبسایت احتمالاً سایر مؤلفههای امنیتی را نیز بهروزرسانی نکردهاند.
با استفاده از هزاران وبسایت آلوده (که برخی سایتهای مرتبط با امنیت همچون PCI Policy Portal را نیز شامل میشود)، حملهگران میتوانند دهها هزار کاربر را همزمان مورد حمله قرار دهند که نهایتاً موجب آلودگی بسیاری از آنها به باجافزار CryptXXX میشود. چند هفته پیش محققین SentinelOne افشاء کردند که گردانندگان CryptXXX در مدت زمان سه هفتهای، مبلغ پنجاه هزار دلار در تنها یک آدرسِ بیتکوین دست یافتهاند.
واضح است که گردانندگان حمله همواره از کیتهای اکسپلویت حاوی بیشترین امکاناتترین استفاده میکنند. ماه پیش بلافاصله پس از اینکه Angler (که سالها بالاترین کیت اکسپلویت بود) از صحنه خارج شد، حملهکنندگان شروع به استفاده از Neutrino کردند.
CryptXXX اکنون به مهمترینِ باجافزارها تبدیل شده و در دو ماه گذشته چندین آپدیت برای آن ارائه شده است. آخرین آپدیت اعمالشده در CryptXXX عبارت است از:
- تغییر متن درخواست باج
- استفاده از یک سایت پرداخت جدید به نام Microsoft Decryptor
- 15