loading...

تروجان بانکی که هر روز خطرناک تر می شود

آکاایران: تروجان بانکی که هر روز خطرناک تر می شود

آکاایران: بیگانه ای پرسه می زند شماره 187

تروجان بانکی که هر روز خطرناک تر می شود

کارشناسان بخش X-Force شرکت آی بی ام اعلام کرده اند که تروجان بانکی TrickBot که شباهت زیادی به بدافزار Dyre دارد، فهرست نسبتاً کاملی از اهداف و روش هایی را در اختیار دارد که می توانند مرورگرها را دستکاری کنند.

لیمور کسام، مشاور بخش امنیت آی بی ام در بولتن امنیتی ماهانه آی بی ام نوشت: «ما انتظار داریم کمپین آلوده سازی و حملات کلاهبردارانه این بدافزار با قدرت زیادی اجرایی شوند؛ حملاتی که عمدتاً حساب های متعلق به کسب وکارها و شرکت ها را نشانه گرفته اند است. TrickBot در سه ماه گذشته و در طول فرایند آزمون و توسعه، مسیر پیشرفت خود را با سرعت زیادی پشت سر گذاشته است. این تروجان مجهز به دو تکنیک فوق پیشرفته است که به منظور دستکاری و ویرایش مرورگرها استفاده می شود. تروجان های بانکی در سال های گذشته به وفور از این تکنیک های ویرایشی استفاده کرده اند.» 
بررسی های بخش X-Force نشان می دهد که این بدافزار شباهت بسیار زیادی به بدافزار بانکی Dyre دارد و طیف گسترده ای از ویژگی ها و کدهایی که در هر دو پلتفرم استفاده شده اند، با یکدیگر وجه اشتراک دارند. شواهد این گونه نشان می دهند که TrickBot با حملاتی که بانک های استرالیایی را تحت تأثیر خود قرار داده، در ارتباط است. در این حملات نیز همانند کدهایی که درون بدافزار Dyre استفاد شده اند، از طیف گسترده ای از تکنیک های تزریق کد استفاده شده بود. با این حال، طراحان بدافزار Dyre هم اکنون در زندان روسیه دوران محکومیت خود را پشت سر می گذارند. 

گروه امنیتی X-Force آی بی ام اعلام کرده است: «TrickBot خود را با چند ویژگی نوین وفق داده و اهداف جدیدی برای خود پیدا کرده است. از جمله اهداف این بدافزار می توان به سایت های شخصی و سایت های بانکی تجاری مؤسسات مالی در کشورهای انگلستان، نیوزلند، استرالیا، کانادا و آلمان اشاره کرد.» کسام در بخشی از یادداشت خود آورده است: «هکرهایی که در پس زمینه طراحی TrickBot بودند، در گام نخست تمرکزشان بر حملات تغییر مسیر و تزریق کد سمت سروری بود که تعدادی از سرورهای متعلق به بانک ها از آن ها استفاده می کردند. اما زمانی که بولتن امنیتی آی بی ام در ماه نوامبر منتشر شد، مشاهده کردیم که تعدادی از تاکتیک های این بدافزار نیز تغییر کرده است و توسعه دهندگان این بدافزار دو پیکربندی نوین را در اوایل ماه جاری میلادی برای بدافزار TrickBot پایه ریزی کردند.» 
به گزارش آکاایران: این تغییر تاکتیکی، فراتر از اضافه کردن آدرس های اینترنتی به منظور پیکربندی بدافزار بود؛ روشی که علیه بانک های انگلیسی استفاده شد تا پیاده سازی حملات تغییر مسیر سفارشی را امکان پذیر سازد، در واقع پیشرفته ترین راهکار برای دستکاری فاکتورهایی به شمار می رود که کاربر در مرورگر خود قادر به مشاهده آن ها است. کسام در بخش دیگری از صحبت های خود گفته است: «تروجان TrickBot بر عکس پسرعموی خود Dyre، با راه اندازی تبلیغات مخرب، به کارگیری کیت نفوذی RIG، ضمیمه های مخرب ایمیلی و نیز ماکروهای آلوده آفیس که از طریق دانلودکننده گودزیلا ارائه می شوند، تقویت شده است. این ویژگی های منحصربه فرد نشان می دهند که گروه پشتیبانی کننده این بدافزار حساب های تجاری خاصی را هدف گرفته اند. این گروه هرزنامه هایی مشتمل بر بدافزارهای مختلف را برای کمپین ها ارسال می کنند و به ارسال ساده ایمیل های کم دردسر رضایت نمی دهند.» 
تحلیل های گروه امنیتی آی بی ام نشان می دهد که هکرها فرایند پیشرفت و به روز شدن این بدافزار را به طور مرتب دنبال می کنند و تکنیک های آلوده سازی این تروجان در هر زمانی متفاوت با زمان دیگر است. محتمل ترین نظریه ای که در زمینه تکامل مستمر این بدافزار می توان ارائه کرد، این است که طراحان این بدافزار، شبانه روزی در شبکه های توزیع کننده بدافزار ها حضور دارند. این حضور پیوسته نه تنها باعث می شود آن ها از هرگونه تلاش شرکت های امنیتی باخبر باشند، بلکه به آن ها اجازه می دهد با هکرهای دیگر در تعامل باشند و سطح دانش خود را ارتقا دهند. نمونه ای از تروجان TrickBot که گروه امنیتی آی بی ام آن ها را بررسی کرده است، مشتمل بر یک دانلودکننده سفارشی موسوم به TrickLoader بوده است. این دانلودکننده پیش تر در روبات هرزنامه ای Cutwall هم استفاده شده بود. به عقیده کارشناسان آی بی ام این دانلود کننده همانند دانلودکننده ای است که پیش تر گروه Dyre در کمپین هرزنامه ای خود از آن استفاده کرده بود. 

.

منبع : shabakeh-mag.com

تبلیغات