به گزارش گرداب، این پویش مخرب، اولین‌بار در تاریخ ۲۰ آذر راه‌اندازی شده و تقریباً دو هفته قبل، محققان امنیتی شرکت پروف‌پوینت اعلام کردند به توزیع بدافزار تبلیغاتی Fleercivet می‌پردازد. پویش مورد بحث در‌حال‌حاضر کاربران مرورگر کروم روی سامانه‌های ویندوز را هدف قرار‌داده و از روش‌های مهندسی اجتماعی استفاده می‌کند. 

کدهای مخربی به وب‌سایت تزریق می‌شود تا اثر انگشت بازدیدکنندگان را ثبت کند و اگر شرایط مهیا بود، متن موجود در وب‌سایت به حالتی غیرخوانا تبدیل می‌شود. در ادامه، هشداری جعلی به کاربر نمایش داده‌شده و اعلام می‌شود باید بسته‌ فونت جدیدی را نصب کند تا محتوای وب‌سایت، قابل نمایش باشد. 

قربانیان در توضیحات خود اعلام کردند، مرورگر نمی‌تواند فونت‌های مورد‌نیاز را پیدا کرده و نصب کند و روال نصب نیز به‌سرعت به پایان می‌رسد. همچنین، کاربران نمی‌توانند با کلیک روی علامت ضربدر، پنجره‌ اعلان را ببندند و اگر با به‌روزرسانی موافقت کنند، بدافزار به‌سرعت در پس‌زمینه نصب خواهد شد. 

اخیراً، در نحوه عملکرد این پویش تغییراتی مشاهده شده و در بار داده‌ بدافزار، باج‌افزار Spora قرار گرفته‌است. با این حال، فرآیند آلوده کردن قربانی همچنان بدون تغییر باقی مانده‌است. زمانی‌که کاربر از یک وب‌سایت آلوده بازدید می‌کند، یک اعلان جعلی نمایش داده شده و باج‌افزار در قالب به‌روزرسانی فونت، نصب خواهد‌شد. 

باج‌افزار Spora ماه گذشته شناسایی شد و در نوع خود بدافزار و تهدیدی پیشرفته و قدرتمند محسوب می‌شود. در این بدافزار از الگوریتم‌های رمزنگاری حرفه‌ای استفاده شده و وب‌سایت پرداختِ باج نیز به‌خوبی طراحی شده‌است. علاوه‌بر‌این، چندین بسته نیز در کنار باج‌افزار، توسعه داده‌شده که همگی اینها نشان از طراحی این باج‌افزار توسط گروهی حرفه‌ای از نفوذگران دارد. 

باج‌افزار از CryptoAPI ویندوز استفاده کرده و از ترکیبی از رمزنگاری‌های RSA و AES بهره می‌برد. همچنین یک روال پیچیده‌ تولید کلید نیز وجود دارد که باج‌افزار بدون نیاز به کارگزار دستور و کنترل می‌تواند پرونده‌های قربانی را رمزنگاری کند. فرآیند رمزنگاری آنقدر قوی است که ابزاری که پرونده‌های یک قربانی را رمزگشایی می‌کند به‌هیچ‌وجه برای رمزگشایی پرونده‌های دیگر مورد‌استفاده نخواهد بود.

مرجع : وب‌گاه اخبار امنیتی فن‌آوری اطلاعات و ارتباطات