תוסף נגישויות לבעלי מוגבלויות הוחלף בקוד זדוני המדביק בכופר

במהלך השבת הותקפו מעל 100 אתרים ישראלים ובמקום חלק מהתוכן המקורי שלהם הופיע דף שחור ועליו הכיתוב באדום “Jerusalem Is The Capital Of Palestine”. התוקפים המכנים את עצמם OpJerusalem גם טמנו באתרים שהותקפו תוכנת כופר.כך אמרו היום (א') במעבדת קספרסקי.

לדברי עידו נאור, מנהל מחקר בקספרסקי ישראל, ההתקפה נצפתה באתרים רבים, והיא מגיעה מאותו מקור – קוד עוין אשר הוחלף בקוד של תוסף שאתרים רבים מוסיפים בדף האתר שלהם על מנת לאפשר לאנשים בעלי מוגבלויות גישה לתכנים באתרים שלהם.

לדברי נאור, תוסף זה שייך לחברה בשם Nagich.co.il, המתמחה בהנגשת תכנים לבעלי מוגבלויות. מכיוון ולקוחותיה של נגיש, ביניהם חברות מובילות בשוק הקמעונות הישראלי, בסך הכל מטמיעים את הקוד בדף האתר שלהם, הקוד בעצם נשלט משרתי חברת נגיש ולמי שיש גישה לקוד יכול לשנותו.

במעבדת קספרסקי הוסיפו כי האקרים שגילו את הפלאגין השכילו להבין שדי בפרצה אחת על מנת להדביק מאות אלפי משתמשים. ההאקרים פנו לשורש הפלאגין הזה – שם מתחם משני של נגיש – js.nagich.co.il – ושם הושתל הקוד הזדוני. דבר זה גרם לטעינה של הקוד בכל דף בו קיים לינק ההנגשה, ולכאורה להורדה של תוכנת כופר למחשבם של ישראלים המבקרים באתרים הללו.

הודעת שגיאה מזויפת. צילום: מעבדת קספרסקי

מכילה קובץ המקפיץ הודעת שגיאה מזויפת

לדברי נאור, הסיבה להחלפת הקוד הייתה בראש ובראשונה הצגת דף HTML ובוא תוכן תעמולתי. לאחר מכן, בקוד המקור של אותו הדף נעשה זיהוי של סוג מערכת ההפעלה ולאחר מכן ניסיון הורדה של קובץ המתחזה לעדכון תוכנה של Adobe Flash Player. מאחורי ה"עידכון" עומדת תוכנת כופר אשר בעת הפעלתה תנעל את קבצי המחשב הקורבן ותדרוש 500$ במטבעות וירטואליים, עבור שחרור הקבצים. בנוסף, על הקורבן יהיה להתקין דפדפן חדש בשם Tor דרכו יגלוש לאתר אשר לא ניתן למצוא אותו ברשת האינטנרט הרגילה – אתרים אלו הינם בעלי סיומת onion ונמצאים ברשת הדארקנט.

תוכנת הכופר מכילה קובץ המקפיץ הודעת שגיאה מזויפת ולאחר מכן, באופן מיידי, יפתח חלון פקודות במחשב הקורבן ובוא יהיה כתוב #OpJerusalem והסבר על כך שהקבצים במחשב מוצפנים וניתן לשחררם רק באמצעות תשלום כופר. סיומות הקבצים הינם JCRY שככל הנראה משמשים כקיצור של Jerusalem Cry.

בשלב זה, ציינו בקספרסקי,  לא ידועה זהות התוקפים, אמרו בקספרסקי.

.