ایمیل‌های آلوده به باج‌افزارهای مبتنی بر JS

0
435
باج افزار RAA

هشدار در مورد باز کردن فایل‌های Java Script ضمیمه شده در ایمیل: این فایل‌ها ممکن است حاوی Ransomware یا باج‌افزار جدیدی تحت عنوان RAA باشند.

Attackerها قادرند با برنامه باج افزار جدیدی به نام RAA که مبتنی بر JavaScript می‌باشد به کامپیوترها آسیب رسانده و فایل­ه ای کاربران را از طریق رمزگذاری قدرتمند قفل نمایند.

اکثر بدافزا­رهای ویندوز با زبان­ های برنامه نویسی جامعی مانند C یا ++C نوشته می ­شوند و فرم فایل­ های اجرایی Portable مانند exe. و dll. را می‌گیرند و سایر بدافزارها نیز از Command-Line scripting هایی مانند Batch Fileهای ویندوزی و یا PowerShell استفاده می‌کنند.

به ندرت دیده می‌شود که بدافزا­رهای سمت کاربر با زبان‌های مبتنی بر وب نظیر JavaScript که اساسا توسط مرورگرها تفسیر می‌گردند، نوشته شوند. Windows Script Host به عنوان سرویس ارائه شده در ویندوز، می‌تواند به صورت Native فایل‌های js. و همچنین سایر فایل‌های اسکریپت‌شده را بلافاصله اجرا نماید.

علی‌رغم هشدارهای مایکروسافت در مورد فایل‌های مخرب ضمیمه شده در ایمیل که حاوی فایل‌های JavaScript می‌باشند، Attackerها از این تکنیک در ماه‌های اخیر استفاده نموده‌اند. در طول ماه گذشته، متخصصان امنیت ESET در مورد موجی از اسپم­ ها، هشدار دادند که باج‌افزار Locky را از طریق فایل‌های Attachشده‌ی js. انتشار می‌دهند.در هر دو مورد، فایل‌های JavaScript به عنوان دانلود کننده ­های بدافزار (Malware Downloader) استفاده شده‌اند. اسکریپت‌ها برای دانلود و نصب یک برنامه بدافزار سنتی طراحی شدند، اما درمورد باج افزار RAA  اینگونه نیست و به طور کامل در JavaScript نوشته می‌شود.

طبق نظر کارشناسان فنی گروه پشتیبانیِ BleepingComputer.com، باج افزار RAA برای اجرای فرآیند رمزگذاری از کتابخانه CryptoJS که یک کتابخانه‌ی مُجاز جاوا اسکریپتی می‌باشد، استفاده می‌نماید. این باج‌افزار دستگاه قربانیان را بررسی نموده و پرونده های انتخابی را با استفاده از الگوریتم AES-256 رمزگذاری می‌نماید.

هنگامی که باج افزار RAA، فایلی را رمزگذاری می‌کند یک پسوند قفل شده را به اسم اصلی فایل اضافه می‌نماید. این باج‌افزار فایل‌هایی با پسوندهایی نظیر doc, .xls, .rtf, .pdf, .dbf, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .lcd, .zip, .rar , .csv. را هدف قرار می‌دهد.

Lawrence Abrams، بنیانگذار BleepingComputer.com اظهار داشت: در این شرایط هیچ راهی برای رمزگشایی فایل ها به صورت رایگان وجود ندارد.

آلودگی‌های ایجاد شده توسط باج افزار RAA، ابتدا توسط کاربران کشور روسیه‌، با نمایش پیغام “Ransom Note” به زبان روسی گزارش شد. حتی اگر این موضوع صرفا کاربران روسی را هدف قرار دهد، تنها زمان برای توزیع گسترده و بومی این مشکل به سایر زبان ها حائز اهمیت می‌باشد.

ارسال برنامه‌های مجاز نوشته شده با JavaScript در ایمیل امری غیرعادی محسوب می‌شود، بنابراین کاربران باید از باز کردن چنین فایل­ هایی جدا خودداری کنند.

بدون دیدگاه

دیدگاهتان را بنویسید

*