کاربران سایت های محتوای بزرگسالانه هدف بدافزار قرار میگیرند!

کاربران سایت های محتوای بزرگسالانه هدف بدافزار قرار میگیرند!

در این عملیات از یک حقه ی قدیمی برای توزیع انواع گوناگون بدافزار ZLoader استفاده میشود.

کاربران سایت های محتوای بزرگسالانه هدف بدافزار قرار میگیرند!

کمپین بد افزاری که از اوایل سال شروع به فعالیت کرده هم اکنون تغییر روش داده ، از سؤاستفاده از ابزار ها تا مهندسی اجتماعی برای هدف قرار دادن کاربران محتوای بزرگسال!

در این عملیات از یک حقه ی قدیمی برای توزیع انواع گوناگون بدافزار ZLoader استفاده میشود ، یک تروجان بانکداری که پس از غیبت دو ساله هم اکنون دوباره برای دستبرد به اطلاعات استفاده میشود.

این کمپین که توسط متخصصان Malsmoke نام گذاری شده سایت های پر بازدید بزرگسال را مورد هدف قرار داده که از آوردن نام سایت ها در اینجا معذوریم.

متخصصان امنیتی با بررسی کمپین Malsomke در طی سال متوجه شدند که آن با ارسال بدافزار SmokeLeader  از طریق کیت fallout تا 18 اکتبر(27 مهر) بطور گسترده فعالیت میکرد.

گرچه هکرها هنوز فعالیت خود را بطور کامل قطع نکرده اند. آن ها به روش های جدیدی روی آورده اند که در تمام مرورگر ها کار میکند : یک صفحه ی پر شده از عکسهایی با محتوای بزرگسالانه که وانمود میکند یک فیلم آماده به پخش است در حقیقت چیزی جز یک دام نیست.

با اینگونه تله ها ، هکر بازدید کنندگان را گول میزنند تا بر روی عکس ها کلیک کنند. فایل گمراه کننده در یک پنجره ی جدید مرورگر باز میشود ، قربانی عکسی پیکسلی به همراه چند ثانیه صدا را میشوند تا سرگرم شوند. بعد از چند ثانیه همانند تصویر زیر از قربانی درخواست میشود تا برای اجرای ویدو پلاگین جاوای خود را به روش زیر را آپدیت کند.

 

adult websites

 

این روش قدیمی مربوط به زمانی میشود که دانلود فایل کدک جهت اجرای ویدو ضروری و معمول بود.

در زمان گذشته هم بسیاری از پلیر ها آلوده به انواع بدافزار بودند.

کمپین Malsomke باعث شد تا نبود نرم افزار جهت اجرای ویدو بسیاری طبیعی و معمول به نظر برسد. گرچه متخصصان این نکته را ذکر کرده اند پیام آپدیت جاوا برای پخش ویدو امری غیری معمول است زیرا جاوا معمولا برای اینجور امور استفاده نمیشود.

همچنین متخصصان ذکر کرده که الگوی سابق کمپین Malsmoke بسیار همانند الگوی جدید در طراحی دام هاست.

بعلاوه ، مجرمان از یک آدرس ایمیل برای ثبت یک دامین تازه برای کمپین جدید استفاده میکرده اند که با بقیه دامین ها در کمپین های قبلی ارتباط داشته.

 

adult website

 

وقتی پی لود مورد آنالیز متخصصان قرار گرفت ، آنها دریافتند آپدیت فیک جاوا شامل بسیاری از کتابخانه های معقول و فایل های قابل اجراست.

یکی از آنها به نام -“HelperDll.dll”- که شامل انواع بسیاری از ZLoader  های (که به نام های بسیاری از جمله Zbot , Zeus Sphinx , Terdot , DELoader نیز معروف است) رمز نگاری شده و بعنوان آخرین پی لود مستقر میشود.

 

adult website

 

تنوع ZLoader بیشتر برروی وب سایت ها جهت دزدیدن مدارک ، اطلاعات بانکی و جزئیات حساس ذخیره شده برروی مرورگر (رمز عبور و کوکی ها) متمرکز شده است.

با تغییر به این روش ، کمپین Malsmoke برروی جامعه بزرگتری از افراد میتواند دسترسی داشته باشد.

منبع : www.bleepingcomputer.com