info[at]nsec.ir
(+98)-31-33915336

دو دزد رفتن دزدی! یکی دزدید یکی قفل کرد!

خلاصه: باج‌افزار معروف GandCrab به تازگی همراه با یک بدافزار سرقت اطلاعات توزیع می‌شود و قبل از رمزگذاری اطلاعات، برخی از اطلاعات مهم قربانی به سرقت می‌رود. این دو بدافزاز از طریق کیت اکسپلویت فعال Fallout توزیع می‌شوند.

 

هکرهای صاحب باج‌افزار معروف GandCrab با اضافه کردن یک سرقت کننده اطلاعات به نام Vidar در فرایند توزیع باج‌افزار، در تلاش برای افزایش سود خود با سرقت اطلاعات کاربران قبل از رمزگذاری فایل آن‌ها هستند.

پس از بررسی‌های شرکت امنیتی Malwarebytes روی کمپین‌های توزیع بدافزار که کاربران سایت‌های تورنت دانلود ویدیو را هدف قرار داده‌اند، مشاهده نمودند که اکسپلویت کیت Fallout اقدام به توزیع سرقت کننده اطلاعات Vidar به همراه باج‌افزار GandCrab می‌نماید.

هکرها با استفاده از یک دامنه جعلی تبلیغاتی، مکان فیزیکی بازدیدکنندگان را مشخص نموده و آن‌ها را به سمت اکسپلویت کیت هدایت می‌کنند. اکسپلویت کیت Fallout فعال‌ترین اکسپلویت کیت در چند ماه گذشته بوده و اکنون با اضافه نمودن سرقت کننده اطلاعات Vidar، که در دارک‌وب با قیمت 700 دلار به عنوان ابزاری برای سرقت کلمات عبور و فرم‌های مرورگر‌های وب به فروش می‌رسد، قدرت تخریب خود را افزایش داده است.

این سرقت کننده اطلاعات می‌تواند به گونه‌ای تنظیم شود که اطلاعات خاضی همچون اطلاعات کارت‌های بانکی یا اطلاعات ذخیره شده در برنامه‌های مشخصی را سرقت نماید. در نمونه‌ای که مورد بررسی قرار گرفته، Vidar برای سرقت اطلاعات برنامه‌های کیف پول الکترونیکی تنظیم شده است.

زمانی که این بدافزار اجرا می‌شود، به دنبال اطلاعات هدف خود می‌گردد و آن‌ها را به صورت یک فایل فشرده برای سرور کنترل و فرمان خود ارسال می‌نماید. پنل مدیریت این بدافزار امکانات کاملی برای ردیابی قربانیان و مدیریت اطلاعات سرقت شده از آن‌ها فراهم می‌نماید.

بدافزار Vidar می‌تواند به عنوان یک آلوده کننده بدافزار نیز کارایی داشته باشد و باج‌افزار GandCrab را به عنوان گام بعدی حمله روی سیستم قربانی بارگذاری نماید. تقریبا یک دقیقه پس از آلوده شدن سیستم به Vidar، فایل‌های سیستم قربانی توسط نسخه 5.0.4 باج‌افزار GandCrab رمز می‌شود و متن باج‌خواهی برای کاربر به نمایش گذاشته می‌شود.

نسخه 5.0.4 باج‌افزار GandCrab جدیدترین نسخه این باج‌افزار بوده و امکان رمزگشایی فایل‌های آن بدون پرداخت باج و دریافت کلید رمزگشایی از هکرها وجود ندارد. این نسخه بر خلاف نسخه‌های قبلی خود، نسخه‌های v1-v4 و v5 تا نسخه v5.02، که قابل رمزگشایی بودند و برای آن‌ها رمزگشای رایگان منتشر شده بود، امکان رمزگشایی رایگان را ندارد.

هکرهای توسعه دهنده GandCrab و اکسپلویت کیت Fallout با اضافه نمودن این قابلیت، امکان سود خود را افزایش داده‌اند. هکرها حتی اگر نتوانند از اطلاعات مالی کاربران درامدی کسب کنند، می‌توانند با فروش اطلاعات کاربران در دارک‌وب به سود اقتصادی برسند. در این صورت بدون پرداخت باج توسط قربانی، باز هم سود مالی نصیب هکرها می‌شود.

کاربران نیز از این به بعد باید بیشتر از GandCrab بترسند. اگر مورد حمله این باج‌افزار قرار گرفتید احتمالا اطلاعات شما نیز به سرقت رفته است! بنابراین لازم است هرچه زودتر اطلاعاتی که احتمال می‌دهند به سرقت رفته باشد تغییر دهند تا از آن‌ها سو استفاده نشود.