بازگشت باجافزار قدیمی با ترفندی جدید
به گزارش روابط عمومی مرکز مدیریت راهبردی افتای ریاست جمهوری، فایلی که باجافزار Paradise منتشر میکند، در ظاهر بیخطر است، تکنیکی که بسیاری از محصولات امنیتی بکار گرفته شده بر روی ماشینهای با سیستم عامل Windows آن را حتی بهعنوان بالقوه مخرب شناسایی نمیکنند.
پیوست ایمیلهای فیشینگ ارسالی در کارزار جدید، فایلی با پسوند IQY است.
فایلهای Internet Query با پسوند IQY حاوی متنی ساده و در ظاهر فاقد هر گونه عملکرد مخرب هستند. نقش این فایل در کارزار جدید Paradise دریافت فایل مخرب مورد نظر مهاجمان است.
آنچه که این کارزارهای هرزنامهای را بسیار خطرناک میکند عدم بررسی فایلهای IQY توسط بسیاری از محصولات امنیتی و سازوکارهای بررسی خودکار است.
پایگاه اینترنتی ZDNet نوشت: محققان Lastline که این کارزار را شناسایی کردهاند میگویند مهاجمان Paradise در حال هدف قرار دادن سازمانها هستند.
گردانندگان باجافزار همچنان در حال هدف قرار دادن سازمانها در سرتاسر جهان و موفقیت در اخاذی صدها هزار دلار با ارز رمزهایی همچون بیتکوین هستند.
در این ایمیلهای فیشینگ با ظاهری تجاری تلاش شده تا کاربر متقاعد به باز کردن فایل IQY پیوست شود. در صورتی که کاربر ناآگاه اقدام به اجرای پیوست کند، فایل IQY به سرور فرماندهی (C۲) متصل شده و در ادامه با اجرای یک فرمان مبتنی بر PowerShell منجر به نصب باجافزار بر روی سیستم میشود.
بهمحض رمزگذاری شدن فایلها، با نمایش یک اطلاعیه باجگیری ( (Ransom Note از کاربر خواسته میشود تا در ازای آنچه که این مهاجمان بازگرداندن دسترسیها به حالت اولیه میخوانند، مبلغ اخاذی شده را از طریق ارز رمز (Cryptocurrecny ) پرداخت کند.
نویسندگان بدافزار معمولاً در مراحلی از توسعه بدافزار، آن را توزیع میکنند تا نحوه شناسایی آنها توسط محصولات و راهکارهای امنیتی را ارزیابی کنند.
محققان، پیشتر موفق به ساخت ابزاری شده بودند که قربانیان Paradise را قادر به رمزگشایی رایگان فایلهای رمز شده توسط این باجافزار میکرد. اجرای این کارزار جدید از عقب ننشستن مهاجمان Paradise حکایت دارد.
کارشناسان معاونت بررسی مرکز افتا میگویند: یکی از اصلیترین راهکارها در برابر این تبهکاران سایبری، تهیه مستمر نسخه پشتیبان از سیستمهاست تا در صورت بروز آلودگی به باجافزار، امکان باز گرداندن فایلها به حالت اولیه فراهم باشد.
همچنین برای جلوگیری از مورد بهرهجویی قرار گرفتن آسیبپذیریهای موجود در سیستمهای عامل و نرمافزارهای مورد استفاده، کاربران باید از نصب مستمر اصلاحیههای امنیتی بر روی دستگاهها اطمینان حاصل کنند تا از گزند این بدافزارهای مخرب در امان بمانند.