انتشار لاکی با یک پویش هرزنامه‌ای گسترده

امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

q18

 


کارشناسان مانیتی می‌گویند که باج‌افزار لاکی در یک پویش هرزنامه‌ای گسترده توزیع می‌شود.

محققان امنیتی هشدار دادند که باج‌افزار لاکی، تهدید مخربی که در سال ۲۰۱۶ میلادی در صدر بدافزارها قرار گرفت، توسط اجرای هرزنامه‌ها که در چند هفته‌ اخیر شروع‌ شده‌اند به‌صورت تهاجمی در حال توزیع است.

لاکی نخستین‌بار در اوایل سال ۲۰۱۶ میلادی و اساسا با همکاری پویش‌هایی که توسط Necurs بات‌نت راه‌اندازی شده‌بودند، مشاهده شد. لاکی در اوایل سال ۲۰۱۷ میلادی نسبتا غیرفعال بود، اما در ماه‌های آوریل و ژوئن در پویش‌های جدید دوباره پدیدار شد و فعالیت خود را در اوایل ماه اوت افزایش داد.

در اواخر ماه اوت، لاکی در پویش‌های متعددی شروع به کار کرد و در‌حال‌حاضر در حملات بسیاری که روزانه ده‌ها میلیون هرزنامه به کاربران سراسر جهان می‌فرستند، مورد استفاده قرارمی‌گیرد.

طبق گفته ترندمیکرو، این برنامه‌ها کاربران را در بیش از ۷۰ کشور تحت تاثیر قرار می‌دهند. ترندمیکرو می‌گوید در بسیاری از حملاتی که اخیرا مشاهده شده، لاکی در کنار یک خانواده باج‌افزار دیگری به نام FakeGlobe، توزیع می‌شود. پیام‌های هرزنامه‌ای که دارای پیوندهای مخرب یا اسناد فعال‌شونده با دستور هستند، کاربران را به مدت یک ساعت به لاکی هدایت می‌کنند و سپس در مرحله‌ بعد به FakeGlobe تغییر مسیر می‌دهند.

ترندمیکرو اشاره کرد: «این اولین‌بار نیست که ما می‌بینیم URLهای بارگیری در خدمت بدافزارها هستند. به هرحال، این بدافزار نوع متفاوتی دارد و سرقت‌کنندگان اطلاعات و تروجان‌های بانکی همراه با این باج‌افزار توزیع می‌شوند. در‌حال‌حاضر ما می‌بینیم که مجرمان سایبری دوبرابر از باج‌افزارها استفاده می‌کنند که این می‌تواند یک خطر واقعی برای کاربران باشد.»

در‌حالی‌که ترندمیکرو می‌گوید توانسته‌است تقریبا ۶۰۰ هزار ایمیل را که حاوی باج‌افزار لاکی بوده‌اند، مسدود کند، محققان Barracuda، این هفته، تنها در طی یک دوره‌ ۲۴ ساعته بیش از ۲۷ میلیون ایمیل حاوی لاکی مشاهده کردند.

بیشتر این ایمیل‌ها از سمت ویتنام ارسال شده‌اند، اما هند، کلمبیا، ترکیه و یونان نیز تعداد پیام‌های زیادی را ارسال کرده‌اند. به طور کلی هرزنامه‌ها از ۱۸۵ کشور مختلف ارسال شده‌‌بودند. بیشتر کاربران آسیب‌دیده در آمریکا، ژاپن، آلمان و چین قرار داشتند. شرکت امنیتی پاندا نیز پویش‌های توزیع گسترده‌ای را مشاهده کرده‌است و تایید می‌کند که اجرای برنامه‌ها در روز سه‌شنبه افزایش می‌یابد.

محققان می‌گویند، در‌حال‌حاضر مهاجمان هر ساعت حدود یک‌میلیون پیام فیشینگ ارسال می‌کنند. این ایمیل‌ها حاوی یک بایگانی به عنوان پیوست هستند. درحالی‌که در بعضی موارد پرونده‌های زیپ مورد استفاده قرار می‌گیرند، ایمیل‌های دیگر دارای پیوست‌های .۷z یا ۷-zip هستند.

در‌حالی‌که برخی از نمونه‌های باج‌افزار که اخیرا مشاهده شده از نسخه‌ لاکیتوس لاکی استفاده‌کرده‌اند، نمونه‌های اخیر، پسوند .ykcol را به پرونده‌های رمزنگاری‌شده اضافه کرده‌اند. این بدافزار همچنین یادداشت‌هایی را به نام ykcol.htm و ykcol.bmp در سامانه‌ قربانی می‌گذارد و حدود هزار دلار را تقاضا می‌کند. همان‌طور که فورتی‌نت اشاره می‌کند، پسوند .ykcol که اخیرا استفاده شده در واقع پسوند .locky اصلی است. محققان همچنین متوجه شدند که موج دوم ایمیل‌های حاوی هرزنامه، دارای عنوان «پیام از km_c۲۲۴e» هستند که پیش از این توسط پویش‌های باج‌افزار Jeff و دریدکس مورد استفاده قرار می‌گرفت.

فورتی‌نت می‌گوید: علی‌رغم چند تغییر جزئی، لاکی هنوز هم مانند یک سال پیش، یک باج‌افزار خطرناک است. این بدافزار قابلیت‌ها و شبکه توزیع لازم را دارد تا بتواند به سامانه‌هایی که مورد هدفش قرار گرفته‌اند، خسارت قابل توجهی وارد کند. در عرض چند ماه گذشته، ما توزیع پویش‌های هرزنامه عظیمی را دیده‌ایم و فکر نمی‌کنیم که به زودی سرعت فعالیت این پویش‌ها کاهش یابد.