محققان به یک قطعه از بدافزار جاوا اسکریپت دست پیداکردهاند که قادر است تنظیمات DNS مسیریابهای خانگی را با اجرا در دستگاههای موبایل تغییر دهد.
این بدافزار که بهوسیله ترند میکرو JS_JITON نامگرفته است، از طریق وبگاههای آلوده در روسیه و چند کشور آسیايی دیگر منتشرشده است. هنگامیکه این وبگاههای آلودهشده از راه دستگاههای تلفن همراه بازدید شوند، JS_JITON ارسالشده و یک تهدید را که بهعنوان JS_JITONDNS کشفشده است، بارگیری میکند، این بدافزار طراحیشده تا تنظیمات DNS مسیریابی را که دستگاههای آلوده به آن متصل هستند، تغییر دهد.
بر اساس گزارشترند میکرو، این حمله در دسامبر ۲۰۱۵ آغاز شد و عمدتاً کاربران را در تایوان (۲۷ درصد)، ژاپن (۱۹ درصد) چین (۱۲ درصد) آمریکا (۸ درصد) و فرانسه (۴ درصد) آلوده کرده است. این آلودگیها بهعلاوه کشورهای کانادا، استرالیا، کره، هنگکنگ، هلند و دیگر کشورها نیز دیدهشده است.
تحلیلی از کد JS_JITON نشان میدهد که این بدافزار شامل ۱۴۰۰ ترکیب از اعتبارنامههایی است که میتوانند برای دسترسی به رابط کاربری مدیریت مسیریابها مورداستفاده قرار گیرند که آنهم بهنوبه خود موجب دسترسی مهاجمان به دستگاه و تغییر تنظیمات DNS میشود.
علاوه بر این کارشناسان، سوءاستفاده از آسیبپذیری CVE-2014-2321 را نیز کشف کردهاند که اجازه دسترسی مهاجمان راه دور را برای مدیریت برای برخی از مودمهای ZTE میدهد.
درحالیکه این بدافزار شامل کدی برای هدف قرار دادن محصولات چندین سازنده مطرح مسیریاب نظیر دیلینک (DLink) و تیپیلینک (TPLink) است، ترند میکرو میگوید که بیشتر بخشهای کدها با ارائه توضیحاتی غیرفعال شدهاند. در حال حاضر، به نظر میرسد که تنها بهرهبرداری از مودمهای ZTE فعال باشد و تنها در صورتی کار میکند که بدافزار از یک دستگاه موبایل اجرا شود.
محققان اشارهکردهاند که وبگاههای آلوده، درصورتیکه از طریق یک رایانه رومیزی هم به آنها دسترسی صورت گیرد میتوانند JS_JITON را ارائه کنند، اما در آن صوت روش آلودگی متفاوت خواهد بود.
ترند میکرو خاطرنشان میکند که اسکریپتهای آلوده تقریباً بهوسیله نویسندگان بدافزار بهروزرسانی میشوند؛ در بعضی مواقع آنها شامل کیلاگرها (قطعه بدافزاری که فعالیتهای کاربر ازجمله کلمات فشردهشده در صفحهکلید را ضبط میکند) هستند که دادههایی را که در وبگاههای خاصی وارد میشوند، سرقت میکنند؛ که میتواند نشانگر آن باشد که این تهدید هنوز در مرحله آزمایش قرار دارد.
چیساتور روکومیا از شرکت ترند میکرو میگوید: «مجرمان سایبری که در پس این حوادث هستند، از سازوکارهای فرار استفاده میکنند تا از دید ضد بدافزارها دور باشند و حمله خود را بدون افزایش سوءظن کاربرانی که در معرض حمله قرار دارند، ادامه دهند. این فنون بهطور منظم کدهای جاوا اسکریپت را بهروزرسانی میکنند تا خطاها را اصلاحکرده و بهصورت پیوسته مسیریابهای خانگی مورد هدف را تغییر دهند.»
بر اساس گزارشترند میکرو، این حمله در دسامبر ۲۰۱۵ آغاز شد و عمدتاً کاربران را در تایوان (۲۷ درصد)، ژاپن (۱۹ درصد) چین (۱۲ درصد) آمریکا (۸ درصد) و فرانسه (۴ درصد) آلوده کرده است. این آلودگیها بهعلاوه کشورهای کانادا، استرالیا، کره، هنگکنگ، هلند و دیگر کشورها نیز دیدهشده است.
تحلیلی از کد JS_JITON نشان میدهد که این بدافزار شامل ۱۴۰۰ ترکیب از اعتبارنامههایی است که میتوانند برای دسترسی به رابط کاربری مدیریت مسیریابها مورداستفاده قرار گیرند که آنهم بهنوبه خود موجب دسترسی مهاجمان به دستگاه و تغییر تنظیمات DNS میشود.
علاوه بر این کارشناسان، سوءاستفاده از آسیبپذیری CVE-2014-2321 را نیز کشف کردهاند که اجازه دسترسی مهاجمان راه دور را برای مدیریت برای برخی از مودمهای ZTE میدهد.
درحالیکه این بدافزار شامل کدی برای هدف قرار دادن محصولات چندین سازنده مطرح مسیریاب نظیر دیلینک (DLink) و تیپیلینک (TPLink) است، ترند میکرو میگوید که بیشتر بخشهای کدها با ارائه توضیحاتی غیرفعال شدهاند. در حال حاضر، به نظر میرسد که تنها بهرهبرداری از مودمهای ZTE فعال باشد و تنها در صورتی کار میکند که بدافزار از یک دستگاه موبایل اجرا شود.
محققان اشارهکردهاند که وبگاههای آلوده، درصورتیکه از طریق یک رایانه رومیزی هم به آنها دسترسی صورت گیرد میتوانند JS_JITON را ارائه کنند، اما در آن صوت روش آلودگی متفاوت خواهد بود.
ترند میکرو خاطرنشان میکند که اسکریپتهای آلوده تقریباً بهوسیله نویسندگان بدافزار بهروزرسانی میشوند؛ در بعضی مواقع آنها شامل کیلاگرها (قطعه بدافزاری که فعالیتهای کاربر ازجمله کلمات فشردهشده در صفحهکلید را ضبط میکند) هستند که دادههایی را که در وبگاههای خاصی وارد میشوند، سرقت میکنند؛ که میتواند نشانگر آن باشد که این تهدید هنوز در مرحله آزمایش قرار دارد.
چیساتور روکومیا از شرکت ترند میکرو میگوید: «مجرمان سایبری که در پس این حوادث هستند، از سازوکارهای فرار استفاده میکنند تا از دید ضد بدافزارها دور باشند و حمله خود را بدون افزایش سوءظن کاربرانی که در معرض حمله قرار دارند، ادامه دهند. این فنون بهطور منظم کدهای جاوا اسکریپت را بهروزرسانی میکنند تا خطاها را اصلاحکرده و بهصورت پیوسته مسیریابهای خانگی مورد هدف را تغییر دهند.»
منبع: iTabnak
روی خط سایت ها
ارسال نظر
فیلم
جدیدترین اخبار