تبليغات گروگان‌گير در سايت‌های مشهور

شماره: IRCNE2014062211
تاريخ: 17/3/93

سيسكو خبر از تبليغات خرابكارانه روي دامنه‌هاي متعلق به ديزني، فيس‌بوك، روزنامه گاردين و برخي كمپاني‌هاي ديگر داد كه كاربران را گرفتار بدافزاري مي‌كنند كه فايل‌هاي كامپيوتر را رمزگذاري مي‌كند و تا زماني كه كاربر پول پرداخت نكند، آنها را آزاد نمي‌كند.
تحقيقات سيسكو يك روش پيچيده و مؤثر براي آلوده كردن تعداد زيادي كامپيوتر به بدافزار گروگان‌گير را كشف كرده است.
سيسكو محصولي به نام Cloud Web Security (CWS) دارد كه مشترياني را كه در حال مرور وب هستند نظارت مي‌كند و درصورتي‌كه بخواهند به دامنه‌هاي مشكوك وارد شوند، گزارش مي‌دهد. CWS روزانه ميلياردها درخواست صفحه وب را نظارت مي‌كند.
اين شركت خاطرنشان كرد كه براي بيش از 17% از كاربران CWS، درخواست‌هاي ورودي به 90 دامنه را مسدود كرده است كه بسياري از آنها سايت‌هاي وردپرس بوده‌اند.
تحقيقات بيشتر نشان داده است كه بسياري از كاربران CWS پس از مشاهده تبليغات بر روي دامنه‌هاي پرترافيك مانند apps.facebook.com، awkwardfamilyohotos.com، theguardian.co.uk و go.com، به كار خود پايان داده‌اند.
البته تبليغات خاص كه بر روي اين دامنه‌ها مشاهده شده‌اند مورد بررسي قرار گرفته‌اند. چنانچه بر روي اين تبليغات كليك شود، قربانيان وارد يكي از 90 دامنه ذكر شده مي‌شوند.
سبك حمله كه تحت عنوان تبليغ بدافزاري شناخته مي‌شود، مدتهاست كه به يك مشكل بدل شده است. شبكه‌هاي تبليغاتي گام‌هايي را براي تشخيص و شناسايي تبليغات خرابكارانه كه بر روي شبكه آنها قرار مي‌گيرد برداشته‌اند، ولي بررسي‌هاي امنيتي بي عيب نيستند.
به طور معمول تبليغات خرابكارانه به سراغ وب‌سايت‌هايي مي‌روند كه از حضور اين تبليغات ناآگاه هستند. كاربران انتظار دارند كه زماني كه به سراغ سايت معتبري مي‌روند، اين سايت قابل اعتماد باشد. اما به علت وجود لينك‌هاي متعدد به سايت‌هاي مختلف در عمل اينطور نيست.
90 دامنه‌اي كه اين تبليغات خرابكار ترافيك را به سوي آن هدايت مي‌كنند نيز هك شده‌اند. در مورد سايت‌هاي وردپرس به نظر مي‌رسد كه مهاجمان از حملات brute force براي دسترسي به كنترل پنل سايت استفاده كرده‌اند. سپس يك كيت سوء استفاده به نام Rig اضافه شده است كه به سيستم قرباني حمله مي‌كند.
كيت سوء استفاده Rig كه نخستين بار در ماه آوريل توسط Kahu Security كشف شد، بررسي مي‌كند كه آيا كاربر از يك نسخه آسيب‌پذير فلش استفاده مي‌كند يا خير. درصورت مثبت بودن نتيجه، بلافاصله سيستم وي مورد سوء استفاده قرار مي‌گيرد.
در مرحله بعدي حمله، يك برنامه گروگان‌گير به نام Cryptowall نصب مي‌شود. اين برنامه فايل‌هاي كاربر را رمز مي‌كند و از وي درخواست پول مي‌نمايد. پيچيدگي اين عمليات به اين صورت تكميل مي‌شود كه وب‌سايتي كه كاربر مي‌تواند از طريق آن پول را پرداخت كند، يك وب‌سليا پنهان است كه از The Onion Router يا شبكه TOR استفاده مي‌كند.
براي دسترسي به اين وب‌سايت، كاربر بايد TOR را نصب كند كه Cryptowall وي را در اين مورد راهنمايي مي‌كند. كساني كه در پرداخت پول تأخير كنند، با افزايش مبلغ آن مواجه خواهند شد.
با توجه به استفاده از TOR و زنجيره پيچيده حملات، سيسكو هنوز نتوانسته است مهاجمان پشت اين حمله را شناسايي كند.