تبلیغات فلش پِلِیِری تقلبی در اسکایپ

 | تاریخ ارسال: 1396/2/1 | 
بنظر میرسد کاربران اسکایپ هدف حمله قرار گرفته اند، که در این حمله ، بدافزارها در بسته های تقلبی فلش پِلِیِری پنهان شده اند.

کاربران زیادی هفته‌ی گذشته در توییتر با نشان دادن عکسهایی از صفحه نمایش خود ، گزارش دادند که اسکایپ ،آنها را مجبور به دانلود نسخه بروز شده‌ی فلش پِلِیِر کرده است. با تأکید بر اسم فایل نصب شده بنام FlashPlayer.hta، بروزرسانی جعلی ای یافت شد که توسط یکی از تبلیغات درون-برنامه‌ای بکار گرفته شده که معمولا این برنامه‌ی پیام رسان به کاربرانش ارائه میدهد.

فایل HTA که درواقع یک فایل HTML است، از طریق چیزی که یک کاربر به آن مراجعه‌کرده است مثل "سایتی با ظاهرِ عاری از جزئیات" بخدمت گرفته شده و چنین باوری درمورش وجود دارد که این فایل برای دانلود یک باج‌افزار یا انواع بدافزارهای دیگر طراحی شده است.( HTA برای توزیع باج‌افزارهایی مانند Locky، Cerber و اخیرا Spora پدیدار شده است).

BleepingComputer گزارش میدهد این بسته‌‌ی فایل طوری  طراحی شده تا کد جاوااسکریپتی را دچار سردرگمی کند. این کد  برای نمایش و اجرای یک پاورشل‌اسکریپتی که موظف است محتوای مرحله دوم را دانلود کند که در یک مورد یک فایل JSE (جاوااسکریپت رمزگذاری شده) بود طراحی شده است . گرچه به این خاطر که دامنه هایی که میزبان محتوا هستند، حین تجزیه تحلیلها از کارافتاده بود، محققینِ مشغول بررسی حادثه، نتوانستند تأیید کنند که چه نوع بدافزاری پخش شده است.

صرف نظر از اینکه آنها توانستند دو دامنه oyomakaomojiya[.]org  و cievubeataporn[.]net را به دهها دامنه مشکوک دیگر متصل کنند، بیشتر آنها قبلا شریک انواع مختلف فعالیتهای مخرب شده بودند. تمام دامنه هایی که تنها با استفاده از دو آدرس ایمیل ثبت شده اند ولی بنظر میرسد که هیچکدام قبل از تاریخ 22 فوریه 2017 ثبت نشده اند.

بعلاوه، تعدادی از آدرسهای IP میزبان سایتها، با سرورهایی شریک شده‌اند که قبلا میزبان دامنه های مخرب دیگر بوده اند. با نفوذ بیشتر به عمق مسئله، محققین دریافتند تاکنون یک آدرس ایمیل دیگر برای ثبت بیش از 35 دامنه از 23 فوریه 2017 استفاده شده است و به این نتیجه رسیدند که گروهی از هکرهای ماهر روزانه اقدام به ثبت تعداد زیادی دامنه جدید میکردند، که بیشتر شبیه به بخشی از یک لشکرکشی بدافزاری است.

به این خاطر که مهاجمان از تعداد زیادی دامنه که بیشتر آنها TTLکوتاهی داشتند استفاده میکردند، محققین نتوانستند محتوای نهایی را نگهدارند.

هنوز هم واضح نیست که چطور تبلبغات مخرب توسط اسکایپ به خدمت گرفته شدند(گرچه اتفاقات مشابه قبلا دیده شده است)، اما محتمل ترین دلیل این است که مجرمین سایبری بوسیله تظاهرهای دروغین، اقدام به ثبت تبلیغ با شبکه تبلیغات کردند و سپس کد مخرب خود را بجای تبلیغات قانونی ارائه کردند.

مایکروسافت به درخواست برای اطلاعات بیشتر درمورد این اتفاق، پاسخی نشان نداد.

طبق گزارش ژانویه 2017 از RiskIQ، پدیده بدافزار کردن، از سال2016 تاکنون،  132% افزایش داشته است 




CAPTCHA
دفعات مشاهده: 7144 بار   |   دفعات چاپ: 702 بار   |   دفعات ارسال به دیگران: 0 بار   |   0 نظر