موج جديدي از ايميلهاي ناخواسته، هزاران صندوق پستي را توسط فايلهاي مخرب مورد حمله قرار داده است كه از ضمائم مخرب كه نوعي فايل كمكي ميباشند براي انتشار باج افزارها Cryptowall استفاده ميگردد.
Cryptowall نسخه جديد Cryptolocker ميباشد كه نوعي باج افزار رمز كننده فايل ميباشد كه رفتار ويروس گونه خود را به صورت فايل و برنامههاي سالم و معتبر جلوه ميدهد.
محققين بدافزار در آزمايشگاه شركت Bitdefender اظهار ميدارند كه ارسال انبوه ايميلهاي ناخواسته در فوريه كاربران بسياري را در سراسر دنيا از جمله انگليس، آمريكا، هلند، دانمارك، سوئد، اسلواكي و استراليا مورد هدف قرار داده است. با پيشرفت تحقيقات مشخص گرديد كه سرورهاي ارسال ايميل در ويتنام، هند، استراليا، رماني و اسپانيا مستقر ميباشند.
مدير استراتژي امنيت شركت Bitdefender اظهار داشت: ”مهاجمين از مؤثرترين روشها براي اجراي خودكار بدافزارها بر روي سيستم قرباني استفاده و اطلاعات آنها را رمز ميكنند.“ ايميلهاي جعلي ارسالي كه ادعا ميكند از با آدرس شبكه سازماني ارسال گشته حاوي فايلهاي اضافي ساختگي با فرمت HTML هستند كه به عنوان راهنماي برنامههاي نرم افزاري براي كاربر ارسال ميگردند. اين فايلها به صورت تعاملي و با استفاده از فناوريها JavaScript توليد شده است كه ميتواند كاربر را به آدرس تارنماي بيروني هدايت نمايد. مهاجمين با خودكارسازي روند اجراي بدافزار انتشار فايلهاي راهنماي ساختگي را امكان پذير نموده و با استفاده از اين روش تعاملات با كاربر كمتر و در نتيجه شانس نفوذ و آلودگي سيستم بيشتر خواهد بود.
فايلهاي HTML فشرده به صورت فايل باينري با پسوند chm. ارسال ميگردد. فايل هاي با پسوند chm. از اسناد HTML، تصاوير و فايلهاي JavaScript ساخته ميشود كه حاوي جداول متشكل از لينکهاي جستجوگر ميباشند. محققان آزمايشگاه شركت Bitdefender معتقدند كه هدف مهاجمين از نفوذ به سيستم كاربران، دسترسي به شبكههاي خصوصي سازمانهاي مختلف ميباشد.
زمانيكه دسترسي به محتويات فايل chm. ممكن شد كدهاي تخريبي از مسير http://*********/putty.exe دانلود و در مسير %temp%\natmasla2.exe ذخيره و بدافزار به طور خودكار اجرا ميگردد. در طول اجراي بدافزار مذكور، پنجره اجراي فرامين ويندوز باز ميگردد.
