Kelihos بات‌نتی که باج‌افزار توزیع می‌کند
بات‌نتی ۸ ساله که هیچ کارشناس امنیتی نتوانسته نابودش کند!
دیگر زمان به کارگیری بدافزارهای ساده به سر رسیده است. امروزه بدافزارهایی که به صورت ترکیبی عمل کرده و یکدیگر را فراخوانی‌ می‌کنند، به وفور در دنیای هکری مورد استفاده قرار می‌گیرند. در جدیدترین مورد بات‌نت Kelihos با تغییر رویکرد باج‌افزارهایی از خانواده Troldesh را توزیع می‌کند.

در میان بات‌نت‌هایی که امروزه در دنیای هکری مورد استفاده قرار می‌گیرند، Kelihos جزء معدود بات‌نت‌هایی است که نزدیک به هشت سال است از سوی هکرها مورد استفاده قرار می‌گیرد و هر بار کارشناسان امنیتی سعی کرده‌اند این بات‌نت را شکست دهند مغلوب شده‌اند. کارشناسان حوزه امنیت در سپتامبر سال 2011 و مارس 2012 تلاش کردند این بات‌نت را شکست دهند، اما در هر دو مورد مغلوب شدند. در طول این سال‌ها هکرها از بات‌نت فوق به شکل‌‌های مختلف برای ارسال هرزنامه‌ها و توزیع باج‌افزارهایی همچون MorsJoke و Wildfire سود بردند.

در مردادماه، کارشناسان امنیتی گزارش کردند که هکرها در تلاش هستند تا این بات‌نت را در کنار بات‌نت‌های دیگر مورد استفاده قرار دهند. به طوری که به منظور توزیع باج‌افزارها و تروجان‌های بانکی مورد استفاده قرار گیرد. بات‌نت Kelihos در یک اتفاق کم سابقه در یک شب موفق شد سه برابر رشد کرده و 34.533 دستگاه را آلوده سازد. در شهریورماه این بات‌نت شروع به توزیع تروجان‌های بانکی NyMain، PandaZeus و Kronos کرد. اما در ماه جاری (آذرماه) کارشناسان گزارش کردند که این بات‌نت مجددا فرآیند توزیع باج‌افزارها را از سر گرفته است. در مکانیزم جدید Kelihos اسپم‌هایی که حاوی لینک‌هایی به یک فایل جاوااسکریپت و یک سند ورد است را به منظور توزیع باج‌افزار Troldesh برای کاربران مختلف ارسال کرد.

Kelihos یکی از معدود بات‌نت‌هایی است که کارشناسان امنیتی هنوز موفق نشده‌اند، آن‌را ردیابی کنند.

این اولین باری است که شاهد آن هستیم که بات‌نت فوق از فایل‌های جاوااسکریپت به منظور آلوده کردن کاربران استفاده می‌کند. باج‌افزاری که این بات‌نت آن‌را ارسال می‌کند، فایل‌های کاربران را رمزگذاری کرده و فرمت فایلی آن‌ها را no_more-ransom نام‌گذاری می‌کند. در مهرماه آزمایشگاه کسپرسکی، دپارتمان امنیتی اینتل و پلیس اتحادیه اروپا پروژه‌ای موسوم به NoMoreRansom را پایه‌گذاری کردند تا به قربانیان باج‌افزارها کمک کنند. به همین دلیل هکرها تصمیم گرفتند نام فرمت فایلی خود را از پروژه این شرکت‌ها اقتباس کرده و به نوعی این شرکت‌ها را مورد تمسخر قرار دهند.

این باج‌افزار در حال حاضر ایمیل‌هایی که فرمت‌ فایلی آن‌ها au. است را هدف قرار می‌دهد. این بات‌نت همچنین ایمیل‌های دوست‌یابی را برای کاربرانی که آدرس ایمیل آن‌ها به .pl ختم می‌شود و ایمیل‌های مالی را برای کاربرانی که آدرس ایمیل آن‌ها .vs است، ارسال می‌کنند. این بات‌نت همچنین ایمیل‌هایی با موضوعات پزشکی برای کاربران سراسر جهان ارسال می‌کند. باج‌افزار Troldesh پیام‌های هرزنامه‌ای را تحت عنوان و تم کارت‌های هدیه بانک امریکا برای کاربران ارسال می‌کند.

مطلب پیشنهادی

راهنمای حذف بدافزارها
رهایی از مزاحمت‌های بدافزاری به مبارزه ای تمام عیار نیاز دارد

زمانی که کاربر فایل آلوده را باز می‌کند، باج‌افزار دانلود شده و رمزنگاری فایل‌ها را آغاز می‌کند. در ادامه یادداشتی به زبان روسی و انگلیسی به کاربران نشان داده شده و به آن‌ها نحوه پرداخت باج و نحوه ارتباط با هکرها را توضیح می‌دهد.

این باج‌افزار قادر به فراخوانی بدافزارهای دیگر بوده و از طریق سرور کنترل و فرمان‌دهی آن‌ها را خط‌دهی می‌کند. همچنین بدافزار روباینده اطلاعات Pony را برای سرقت گذرواژه‌ها و اطلاعات حساس روی کامپیوتر قربانیان نصب می‌کند.


ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه         ثبت اشتراک نسخه  آنلاین 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network اینجا کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

برچسب: 

مطالب پربازدید

توسعه و پشتیبانی توسط : ایران دروپال
پشتیبانی توسط ایران دروپال