سوء استفاده ارسال کنندگان هرزنامه از انفجارهای بوستن و تگزاس

به گزارش خبرگزاری مهر، ارسال­ كنندگان هرزنامه­ ها با بهره­ برداري از توجهي كه به رويدادهاي بوستن و تگزاس شده، آرايه­ هاي دو بات­ نت بزرگ را به نحوي تنظیم كرده­ اند كه كاربران اينترنت را در معرض هجوم پيام­هايي قرار دهند كه به ظاهر به ويدئوهاي این رويدادها لينك مي­ دهند.

شركت دل سكيوروركز (Dell SecureWorks) در ايميلي هشدار داده است كه در تاريخ 16 آوريل، بات­ نت­هاي كليوس (Kelihos) و كاتويل (Cutwail) ارسال هرزنامه­ هايي با موضوعاتي چون "عواقب انفجار در ماراتن بوستن" و" تصوير ويدئويي انفجار بوستن" را آغاز كرده­ اند.

این شركت در تحليلي که منتشر كرده اطلاع داد كاربراني كه لينك­هاي مذكور را دنبال كنند به سايتي هدايت مي­ شوند كه به سيستم­هايشان نفوذ و بدافزارهايي را در آن­ها نصب خواهد كرد كه نرم­ افزار بات و تروجان زيرواكسس (ZeroAccess) از آن جمله­ اند. اين بدافزارها از طريق كليك­هاي تقلبي و بهره برداري از پول ديجيتالي بيتكوين، براي كنترل­ كنندگان خود درآمد ايجاد مي­ كنند.

به گفته  برت استون گراس، محقق ارشد حوزه امنيت در شركت دل سكيوروركز، حجم اين اقدامات بسيار زياد بود زيرا دو بات­ نت از بزرگ­ترين بات­ نت­ هاي موجود در زمان واحد از اين موضوعات براي ارسال هرزنامه­ هاي خود استفاده كردند.

بنا بر گزارش شركت شبكه­ اي سيسكو (Cisco)، مهاجمان مجموعه­ اي از دامنه­ ها را در 15 آوريل، بلافاصله بعد از رويداد انفجار در بوستن، ثبت كردند. در 17 آوريل، تلاش براي ارسال هرزنامه­ ها به اوج رسيد، به طوري كه 40 درصد از هرزنامه­ هايي را كه سيسكو مشاهده كرد به خود اختصاص داد.

سيسكو معتقد است كه به احتمال بسيار زياد، از وقايع اخير براي حملات مخرب ديگري نيز بهره­ برداري خواهد شد.

شركت امنيتي تراست­ويو (Trustwave) نيز در توصيه­ نامه خود اعلام كرده است كه ايميل­ هاي مذكور حاوي لينكي ساده به يك صفحه اند كه در آدرس IP مشخصي وجود دارد.

بر اساس اين تحليل، اين نوع اقدامات روندي به جا مانده از گذشته است. نسخه قديمي كليوس استورم (Storm) نام گرفته بود زيرا از اخبار مرتبط با توفان اوايل سال 2007 بهره­ برداري مي­ كرد.

وقتي كاربران بر لينكي كليك مي­ كنند، به صفحه­ اي حاوي ويدئوهايي هدايت مي­ شوند. اگر بدافزارها موفق شوند و بر سيستم نصب شوند، ارسال­ كنندگان بدافزارها ممكن است بابت توزيع بدافزارها درآمد كسب كنند.

شركت امنيتي اينوينسي (Invincea) در تحليلي اعلام كرده است نرم­ افزار مخرب نصب­ شده بر سيستم بعد از آلوده ساختن آن، با سرور خود كه در روسيه قرار دارد ارتباط برقرار می کند. در همین حال روسيه و اروپاي شرقي مامن موردعلاقه مجرمان سايبري است.

ادي ميچل، مشاور امنيت اينوينسي در تحليلي كه راجع به حملات مذكور نوشته، چنين آورده است: تراژدي ماراتن بوستن فرصتي براي خلافكاران سايبري است تا از كنجكاوي مردم براي نفوذ در كامپيوترها و شبكه­ هایشان بهره­ برداري كنند. شايد براساس محل استقرار سرور كنترل­ كننده و دستوردهنده آن بتوان نتيجه گرفت كه جرمي سايبري رخ داده اما براي قطعي شدن اين نتيجه بايد بررسي­ هاي بيش­تري بر شبكه فرماندهي و كنترل آن­ها صورت گيرد.

مايكروسافت هر دو بات­ نت مذكور را پیش از این از كار انداخته بود به نحوی که كليوس دوبار با اقدام مايكروسافت از كار افتاد؛ در ششم ماه مارس، شركت امنيت تراست­ويو دريافت كه كليوس بار ديگر به كار افتاده و هرزنامه­ هايي مربوط به بازار سهام ارسال مي­ كند.

این شركت در تحليل خود آورده كه به رغم تمام تلاش­ها، كليوس به كار خود ادامه مي­ دهد و هر بار به چيزي تازه بدل مي­ شود.

مي­ توان بات­ نت­ها را از كار انداخت اما تا زماني كه گردانندگان آن­ها دستگير نشده باشند يا سرور آن­ها به كل از كار نيفتند امكان تأثيرگذاري بلندمدت بر اين جريان كم است.