پژوهشگران BlackBerry گزارش دادند که یک باجافزار جاوای چند بستری که اخیراً کشف شده است، از یک فایل Image جاوا برای جلوگیری از شناسایی شدن خود استفاده میکند. با توجه به تعداد اندک قربانیان و سازوکار انتقال استفادهشده، این باجافزار که Tycoon نام دارد، تنها در حملات بسیار هدفمند استفاده میشود.
پژوهشگران بیان میکنند که اپراتورهای این باجافزار شرکتها و مؤسسههای کوچک و متوسط در صنایع آموزش و نرمافزار را هدف قرار میدهند. در یکی از نمونهها، آنها ابتدا یک jump-server پروتکل remote desktop را در معرض خطر قرار دادند و از آن برای ایجاد آسیبهای بیشتر استفاده کردند. با بررسی حادثه مشخص شد که مهاجمان از تزریق Image File Execution Options برای پایداری استفاده کردند و یک درب پشتی اجرا کردند و برنامهی ضدبدافزار را نیز غیرفعال کردند.
مهاجمان پس از استقرار یک پایگاه در محیط موردنظر، ماژول جاوای باجافزار را اجرا کردند که همهی سرورهای فایل متصل به شبکه ازجمله سیستمهای پشتیبان را رمزنگاری میکرد.این باجافزار بهعنوان یک فایل ZIP حاوی یک ساختار تروجانی Java Runtime Environment (JRE) مستقر میشود و در یک فایل Image جاوا کامپایل میشود. این فرمت فایل که اولین بار در جاوای نسخهی ۹ معرفی شد و به ندرت توسط توسعهدهندگان مورد استفاده قرار میگیرد، برای ذخیرهی تصاویر JRE توسط Java Virtual Machine (JVM) استفاده میشود.
پژوهشگران امنیتی همچنین کشف کردند که این باجافزار برای هدف قرار دادن سیستمهای ویندوز و لینوکس طراحی شده است. پیکربندی این باجافزار شامل آدرس ایمیل مهاجم، کلید عمومی RSA، محتوای یادداشت باج، یک فهرست حذف و یک فهرست از دستورات shell برای اجرا است. هنگامی که این باجافزار اجرا میشود، مجموعهای دستورات مشخصشده در فایل پیکربندی را اجرا میکند. Tycoon فایلهای اصلی را حذف میکند و برای جلوگیری از بازیابی آنها را بازنویسی میکند و در طول رمزنگاری قسمتهایی از فایلهای بزرگتر را پرش میکند تا این فرآیند را تسریع کند که منجر به آسیب دیدن و غیرقابل استفاده شدن فایلها میشود.
هر فایل با استفاده از یک کلید AES متفاوت رمزنگاری میشود. این باجافزار از الگوریتم نامتقارن RSA برای رمزنگاری کلیدهای AES رمزنگاری استفاده میکند، این به این معنا است که برای رمزگشایی کلید خصوصی RSA مهاجم موردنیاز است. BlackBerry بیان میکند که Tycoon حداقل از شش ماه قبل وجود داشته است، اما به نظر میرسد که تعداد قربانیان محدود است. این نشان میدهد که این بدافزار ممکن است بسیار هدفمند بوده و بخشی از یک پویش گستردهتر باشد که از چند باجافزار مختلف استفاده میکند.
پژوهشگران همچنین براساس همپوشانیهای موجود در آدرسهای ایمیل، متن یادداشت باج و قرارداد نامگذاری استفادهشده برای فایلهای رمزنگاریشده، یک ارتباط احتمالی با باجافزار Dharma/crySIS را شناسایی کردند.
این حملهی باجافزاری دومین مورد در ماه گذشته است که از JRE برای اجرای حمله استفاده میکند. بااینکه اطلاعات اولیه یک حملهی بسیار هدفمند را نشان میدهد، اما بیانگر این است که گروههای مجرمانه به دنبال روشهای جدید برای جلوگیری از شناسایی در یک سازمان هستند. غیرفعال کردن برنامهی ضدبدافزار در سیستمها احتمال کشف شدن توسط مدیران سیستم نظارتی را کاهش میدهد.