تحولی در بازارِ باجافزارها
تحولی در بازارِ باجافزارها
با شروع سال ۲۰۱۷ محققان حوزهی امنیت سایبری با باجافزاری روبهرو شدند که شیوهی نگارش جدیدی داشت. «Sage» که نام این باجافزار است از زیرساختی باجافزار مشهور دیگری به نام Locky استفاده کرد.
در کندوکاوی که در مورد کدهای این باجافزار انجام شد، مشخص شد که با وجودی که کدگذاران این باجافزار که در ابتدا در حملات فیشینگشان قربانیان را با استفاده از عناوین جنسی هدف قرار میدادند، خیلی زود به جریان جدیدتری تغییر موضع دادند که در آن، دریافتکنندگان ایمیلها ترغیب میشوند روی فایل زیپ ضمیمه ایمیل که عنوانی مرتبط با کسب و کار دارد و به نظر میرسد درباره لغو یک تراکنش مالی باشد، کلیک کنند.
در هر دوی این کمپینها پیامهای ایمیلی و متادیتای استفاده شده در آنها و همین طور درگاه پرداخت وبسایت Tor مانند کمپین Locky بودند. بنابراین بر خلاف آنچه که تا کنون مبنی بر از بین رفتن تهدید Locky در حوزهی امنیت سایبری ادعا میشد، Locky همچنان در این عرصه حضور دارد و مورد استفاده قرار میگیرد. با وجود این که از استراتژی دیگری بهره برده باشد.
این زیرساخت مشترک در واقع به ارتباط قابل تأملی میان این دو گونه باجافزار اشاره دارد و این نکته را یادآوری میکند که زیرساخت توزیع و پشتیبانی بدافزارها بارها مورداستفاده مجدد قرار میگیرد.
این کمپین نشان میدهد که خالقان Locky با استفاده از این باجافزار جدید تلاش در بهروز بودن میکنند اما همچنان از باجافزار Locky که امتحانپسداده است، بهره میبرند.
با وجود این که باجافزارها سیر تکاملی خود ادامه میدهند، استفاده از زیرساختهای مشترک توسط مهاجمان میتواند مقابله با این حملات را برای متخصصان امنیت راحتتر کند زیرا زیرساخت مشترک امکان شناسایی بهتر و جلوگیری از توزیع باجافزار را فراهم میکند.
