תוסף נגישויות לבעלי מוגבלויות הוחלף בקוד זדוני המדביק בכופר

עידו נאור, מנהל מחקר בקספרסקי: "מדובר בקוד עוין שהוחלף בקוד של תוסף שאתרים רבים מוסיפים באתר שלהם על מנת לאפשר לאנשים בעלי מוגבלויות גישה לתכנים באתרים שלהם" ● בשלב זה לא ידועה זהות התוקפים

03/03/2019 12:13
כופרה בתוסף נגישות. אילוסטרציה: iconvectorstock/BigStock

במהלך השבת הותקפו מעל 100 אתרים ישראלים ובמקום חלק מהתוכן המקורי שלהם הופיע דף שחור ועליו הכיתוב באדום “Jerusalem Is The Capital Of Palestine”. התוקפים המכנים את עצמם OpJerusalem גם טמנו באתרים שהותקפו תוכנת כופר.כך אמרו היום (א') במעבדת קספרסקי.

לדברי עידו נאור, מנהל מחקר בקספרסקי ישראל, ההתקפה נצפתה באתרים רבים, והיא מגיעה מאותו מקור – קוד עוין אשר הוחלף בקוד של תוסף שאתרים רבים מוסיפים בדף האתר שלהם על מנת לאפשר לאנשים בעלי מוגבלויות גישה לתכנים באתרים שלהם.

לדברי נאור, תוסף זה שייך לחברה בשם Nagich.co.il, המתמחה בהנגשת תכנים לבעלי מוגבלויות. מכיוון ולקוחותיה של נגיש, ביניהם חברות מובילות בשוק הקמעונות הישראלי, בסך הכל מטמיעים את הקוד בדף האתר שלהם, הקוד בעצם נשלט משרתי חברת נגיש ולמי שיש גישה לקוד יכול לשנותו.

במעבדת קספרסקי הוסיפו כי האקרים שגילו את הפלאגין השכילו להבין שדי בפרצה אחת על מנת להדביק מאות אלפי משתמשים. ההאקרים פנו לשורש הפלאגין הזה – שם מתחם משני של נגיש – js.nagich.co.il – ושם הושתל הקוד הזדוני. דבר זה גרם לטעינה של הקוד בכל דף בו קיים לינק ההנגשה, ולכאורה להורדה של תוכנת כופר למחשבם של ישראלים המבקרים באתרים הללו.

הודעת שגיאה מזויפת. צילום: מעבדת קספרסקי

הודעת שגיאה מזויפת. צילום: מעבדת קספרסקי

מכילה קובץ המקפיץ הודעת שגיאה מזויפת

לדברי נאור, הסיבה להחלפת הקוד הייתה בראש ובראשונה הצגת דף HTML ובוא תוכן תעמולתי. לאחר מכן, בקוד המקור של אותו הדף נעשה זיהוי של סוג מערכת ההפעלה ולאחר מכן ניסיון הורדה של קובץ המתחזה לעדכון תוכנה של Adobe Flash Player. מאחורי ה"עידכון" עומדת תוכנת כופר אשר בעת הפעלתה תנעל את קבצי המחשב הקורבן ותדרוש 500$ במטבעות וירטואליים, עבור שחרור הקבצים. בנוסף, על הקורבן יהיה להתקין דפדפן חדש בשם Tor דרכו יגלוש לאתר אשר לא ניתן למצוא אותו ברשת האינטנרט הרגילה – אתרים אלו הינם בעלי סיומת onion ונמצאים ברשת הדארקנט.

תוכנת הכופר מכילה קובץ המקפיץ הודעת שגיאה מזויפת ולאחר מכן, באופן מיידי, יפתח חלון פקודות במחשב הקורבן ובוא יהיה כתוב #OpJerusalem והסבר על כך שהקבצים במחשב מוצפנים וניתן לשחררם רק באמצעות תשלום כופר. סיומות הקבצים הינם JCRY שככל הנראה משמשים כקיצור של Jerusalem Cry.

בשלב זה, ציינו בקספרסקי,  לא ידועה זהות התוקפים, אמרו בקספרסקי.

.

תגובות

(2)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

  1. יהודה

    נגיש בקליק זה פתרון מצויין...סתם אתם מקשקשים, לא היה כלום, ואין כלום.

  2. gamal

    נו באמת. אתם ליצנים? לא קפצה שום הודעה עם התקנה של FLASH והפריצה הייתה בכלל לחשבון שלהם ב-BOX איפה ששינו את ה-DNS. קספרסקי רוצים לפרסם את עצמם ולספר לכולם שהפרצה התקינה תוכנת כופר כדי שכולם ירוצו לקנות את המוצר שלהם. אולי תשקיע קצת בלספר את האמת ולא רק בפרסומות?

אירועים קרובים