תוסף המשרת כמיליון דפים ישראלים הוחלף בקוד זדוני המדביק בתוכנת כופר
מאת:
מערכת Telecom News, 3.3.19, 12:15
הקוד הזדוני נטען בכל דף בו קיים לינק הנגשה ולהורדת תוכנת כופר למכשירים של ישראלים המבקרים באתרים בהם מצוי התוסף.
במהלך השבת הותקפו מעל 100 אתרים ישראלים ובמקום חלק מהתוכן המקורי שלהם הופיע דף שחור ועליו הכיתוב באדום
“Jerusalem Is The Capital Of Palestine”. התוקפים המכנים את עצמם
OpJerusalem גם טמנו באתרים שהותקפו תוכנת כופר.
עידו נאור, מנהל מחקר בקספרסקי ישראל: "ההתקפה נצפתה באתרים רבים, והיא מגיעה מאותו השורש - קוד עוין, שהוחלף בקוד של תוסף,
תוסף נגישות - קוד ג’אווה-סקריפט, שאתרים רבים מוסיפים בדף האתר שלהם כדי לאפשר לאנשים בעלי מוגבלויות גישה לתכנים באתרים שלהם".
תוסף זה שייך לחברה בשם
Nagich.co.il, שמתמחה בהנגשת תכנים לבעלי מוגבלויות. מכיוון שלקוחותיה של נגיש (סופר פארם, מקדונלדס, בנק הפועלים, פרטנר ורבים רבים נוספים) בסך הכל מטמיעים את הקוד בדף האתר שלהם, הקוד בעצם נשלט משרתי חברת נגיש ולמי שיש גישה לקוד יכול לשנותו. וזו
הבעיה בתוספים כאלה, פירצה במקום אחד יכולה להפיל הרבה אתרים.
ואכן, האקרים, שגילו את הפלאגין, השכילו להבין, שדי בפרצה אחת כדי להדביק מאות אלפי משתמשים. ההאקרים פנו לשורש הפלאגין הזה - שם מתחם משני של חברת נגיש -
js.nagich.co.il - ושם הושתל הקוד הזדוני. דבר זה גרם לטעינה של הקוד בכל דף בו קיים לינק ההנגשה, ולכאורה להורדה של תוכנת כופר למכשירים של ישראלים המבקרים באתרים הללו. כלומר, זו
בעיה "דו-צדדית" הנובעת מכך, ש-Nagich לא נקטה הגנה ראויה מלכתחילה והאתרים, שהטמיעו את התוסף, לא נקטו במדיניות הגנה, שהיתה מונעת טעינת סקריפט, שעבר שינוי.
הסיבה להחלפת הקוד הייתה בראש ובראשונה הצגת דף
HTML ובוא תוכן תעמולתי. לאחר מכן, בקוד המקור של אותו הדף נעשה זיהוי של סוג מערכת ההפעלה ולאחר מכן ניסיון הורדה של קובץ המתחזה לעדכון תוכנה של
Adobe Flash Player.
מאחורי ה"עידכון" עומדת תוכנת כופר, שבעת הפעלתה תנעל את קבצי המחשב הקורבן ותדרוש 500$ במטבעות וירטואליים, עבור שחרור הקבצים. בנוסף, על הקורבן יהיה להתקין דפדפן חדש בשם
Tor דרכו יגלוש לאתר, שלא ניתן למצוא אותו ברשת האינטנרט הרגילה - אתרים אלו הם בעלי סיומת
onion ונמצאים ברשת הדארקנט -
הרשת האפלה.
תוכנת הכופר מכילה קובץ המקפיץ הודעת שגיאה מזויפת ולאחר מכן, באופן מיידי, יפתח חלון פקודות במחשב הקורבן ובוא יהיה כתוב
#OpJerusalem והסבר על כך, שהקבצים במכשיר מוצפנים וניתן לשחררם רק באמצעות תשלום כופר. סיומות הקבצים הן
JCRY, שככל הנראה, משמשים כקיצור של
Jerusalem Cry.
בשלב זה לא ידועה זהות התוקפים ואין בהכרח קשר בינם לבין המתקפה השנתית של
OPISRAEL.
המלצות:
לא לשלם את הכופר.
לעדכן תוכנת אנטי וירוס.
במידה והקובץ ירד למחשב ואכן הותקנה תוכנת הכופר, יש ליצור קשר עם מומחה כדי לנסות ולאחזר את הקבצים.
הקוד הזדוני המוריד את תוכנת הכופר: