حمله باج‌افزار Cerber به نشانیِ وب Google و سرویسِ Tor2Web Proxy

به نقل از مؤسسه Talos، در یک کارزار (Campaign) جدید که از 4 آذر ماه فعال شده با سوءاستفاده از قابلیت تغییر مسیر نشانی وب Google و سرویس Tor2Web Proxy نسخه جدید باج‌افزار Cerber به شناسه 5.0.1 که بر روی شبکه Tor میزبانی می‌شود دانلود شده و سپس بر روی دستگاه قربانی اجرا می‌شود.

هرزنامه‌های (Spam) این کارزار شامل لینک به فایل‌هایی در ظاهر جذاب برای دریافت‌کننده ایمیل نظیر تصاویر، جزییات سفارش، سوابق نقل و انتقال پول، نامه‌های موافقت با وام و مواردی از این دست است. برخی نمونه عناوین استفاده شده در هرزنامه‌های کارزار اخیر به‌شرح زیر است:

• Hi
• How are you
• Howdy
• Hello
• Hey
• Whats up

نشانی URL درج شده در متن هرزنامه از قابلیت تغییر مسیر نشانی وب (URL Redirection) بر روی سایت Google به‌منظور برقراری ارتباط با سرور حاوی فایل مخرب دانلودکننده باج‌افزار که در حقیقت بر روی شبکه Tor میزبانی می‌شود استفاده می‌کند.

استفاده از دامنه onion.to در اولین تغییر مسیر، مهاجم را قادر می‌سازد تا بدون نصب هر گونه نرم‌افزار Tor Client بر روی سیستم قربانی، از سرویس Tor2Web Proxy که از طریق یک پیشکار (Proxy) واسط امکان دسترسی به منابع موجود بر روی شبکه Tor را از روی اینترنت ممکن می‌سازد دستگاه را به شبکه Tor متصل کند.

این نخستین بار نیست که مهاجمان از قابلیت Google Redirection سوءاستفاده می کنند. نمونه‌هایی از این روش پیشتر در بهره‌جوهایی (Exploit) نظیر Nuclear نیز دیده شده بود.

بر خلاف فایل‌های مخرب میزبانی شده در اینترنت – چه  بر روی سایت‌های مجاز تسخیر شده و چه بر روی سرورهای فرماندهی مهاجمان – که معمولاً در مدتی کوتاه یا توسط صاحبان سایت حذف می‌شوند یا دسترسی به آنها از طریق نرم‌افزارها و سخت‌افزارهای امنیتی مسدود می‌شود، فایل‌های مخرب بر روی سرورهای متصل به شبکه Tor شانس بسیار بیشتری برای بقای طولانی مدت دارند. ضمن اینکه این معماری، گردانندگان بدافزار را قادر می‌سازد تا زنجیره ارتباطات را به سرعت و به آسانی به عنوان تلاشی برای فرار از سد فناوری‌های فهرست سیاه تغییر دهند.

به محض انتقال، یک فایل Word حاوی ماکروی مخرب بر روی دستگاه قربانی دانلود می‌شود. نقش این فایل دانلود کردن بدافزار (Downloader) است. تصویر زیر نمونه‌ای از این ماکرو را نمایش می‌دهد:

در صورت باز شدن فایل توسط کاربر و فعال شدن بخش ماکرو، دانلودکننده با استفاده از Windows Command Processor پروسه Powershell را اجرا کرده و فایل اجرایی Cerber را دانلود و اجرا می‌کند. در کدنویسی ماکرو از روش‌های مبهم‌سازی (Obfuscation) استفاده شده است.

در بخشی از کد مذکور به مسیری اشاره شده که تعداد نویسه‌های نام پوشه ذکر شده در آن مسیر بیشتر از مقدار مجاز است؛ موضوعی که سبب می‌شود که از اجرای کد مبهم سازی شده به آسانی گذر شود.

فایل اجرایی Cerber پس از دانلود شدن در مسیر %TEMP% ذخیره شده و پس از اجرا اقدام به رمزنگاری اطلاعات کاربر می‌کند. در این گونه – 5.0.1 – به پسوند فایل‌های رمز شده عبارت ab4c یا چهار نویسه تصادفی الصاق می‌شود.

گردانندگان این باج افزار در ازای بازگردانندان فایل های کاربر، مبلغ 1.3649 بیت‌کوین (Bitcoin) را که تقریباً معادل یک هزار دلار است از قربانی اخاذی می‌کنند. ضمن اینکه تهدید می‌کنند که اگر پرداخت در عرض پنج روز انجام نشود، این مبلغ دو برابر می‌شود.

نسخه 5.0.1 باج‌افزار Cerber توسط ضدویروس‌های McAfee،وBitdefender و ESET با نام های زیر شناسایی می‌شوند:

McAfee:

   – Downloader-FBJD!D2B58BAE2799
   – Artemis!1F2E7E397639

Bitdefender:

   – W97M.Downloader.EUF
   – Trojan.Ransom.Cerber.DM

ESET:

   – VBA/TrojanDownloader.Agent.CCD
   – NSIS/Injector.LB