بنابر ادعای محققان شرکت Sucuri در دو ماه گذشته هزاران وبسایت مبتنی بر سیستم مدیریت محتوای وردپرس و جوملا تسخیر شدهاند تا کاربران را به سمت باجافزار CryptXXX هدایت کنند.
در حالیکه گفته میشود این کمپین آلودهسازی از 20 خرداد آغاز شده، تخمین زده میشود که حداقل دو هزار وبسایت با این هدف آلوده شده باشند.
اما احتمالا آمار واقعی حدود پنج برابر این مقدار است چرا که تخمین ذکر شده بر اساس اطلاعات جمعآوری شده از طریق اسکنر SiteCheck بوده که اطلاعاتی محدود در اختیار دارد.
مشخصه اصلی این حمله آن است که از دامنههای realstatistics[.]info و realstatistics[.]pro استفاده میکند تا کاربران را به صفحه فرود (Landig Page) مربوط به کیت اکسپلویت Neutrino هدایت کند.
Neutrino که اکنون پیشروترین تهدید در میان کیتهای اکسپلویت به حساب میآید، تلاش میکند تا از آسیبپذیریهای Flash یا PDF در سیستمهای هدف استفاده کرده و باجافزار CryptXXX را نصب نماید.
چند روز پیش محققان Forcepoint اعلام کردند که دامنههای ذکرشده به عنوان سیستمهای هدایت ترافیک در حملههای توزیع Neutrino و RIG استفاده شدهاند.
محققان نهایتاً موفق به کشف رابطه دامنهها با Blackhat‑TDS شدند. این نشان میدهد که آنها تنها کاربران معمولی را به صفحه فرود هدایت میکردند در حالیکه برای رنجهای IP مربوط به بلکلیست خود، صفحهای پاک تحویل میدادند (این لیست عمدتاً مربوط به IP مربوط به فروشندهها، موتورهای جستجو و سرویسهای اسکنِ وب میشود.)
با این حال، محققان Forcepoint مشخص نکردهاند که شدت این حمله و روش تسخیر وبسایتها چگونه بوده است.
Sucuri عنوان کرده که شصت درصد سایتهای آلوده از نسخههای قدیمی وردپرس و جوملا و همچنین حملهگران احتمالاً از مؤلفههای آسیبپذیری همچون پلاگینها و اکستنشنها استفاده کردهاند.
محققان این شرکت معتقدند که استفاده از CMS از رده خارج شده معمولاً نشاندهنده آن است که گردانندگان وبسایت احتمالاً سایر مؤلفههای امنیتی را نیز بهروزرسانی نکردهاند.
با استفاده از هزاران وبسایت آلوده (که برخی سایتهای مرتبط با امنیت همچون PCI Policy Portal را نیز شامل میشود)، حملهگران میتوانند دهها هزار کاربر را همزمان مورد حمله قرار دهند که نهایتاً موجب آلودگی بسیاری از آنها به باجافزار CryptXXX میشود.
چند هفته پیش محققان SentinelOne افشاء کردند که گردانندگان CryptXXX در مدت زمان سه هفتهای، مبلغ پنجاه هزار دلار در تنها یک آدرس بیتکوین دست یافتهاند.
واضح است که گردانندگان حمله همواره از کیتهای اکسپلویت حاوی بیشترین امکانات استفاده میکنند. ماه پیش بلافاصله پس از اینکه ( Angler که سالها بالاترین کیت اکسپلویت بود) از صحنه خارج شد، حملهکنندگان شروع به استفاده از Neutrino کردند.
CryptXXX اکنون به مهمترین باجافزارها تبدیل شده و در دو ماه گذشته چندین آپدیت برای آن ارائه شده است. آخرین آپدیت اعمال شده در CryptXXX عبارت است از 1.تغییر متن درخواست باج و 2. استفاده از یک سایت پرداخت جدید به نام Microsoft Decryptor./تسنیم