گسترش تروجانهای بانکی از طریق spam
https://startupforum.ir/images/cdn/2018/04/4105.jpg
هرزنامههایی که با عنوان تأیید پرداخت از طرف یک شرکت هواپیمایی Delta (دلتا) برای کاربران ارسال میشود، در حال توزیع تروجانهای بانکی و مالی است. به گفته محققان امنیتی این بدافزار تلاش میکند تا به اطلاعات مالی قربانیان دستیابد. به گفته محققان بهترین زمان برای راهاندازی چنین پویشی، ایام تعطیل سال است، چون بلیط هواپیما در این ایام برای مسافرتها بیشتر تخفیف میخورند.
هرزنامههایی که با عنوان تأیید پرداخت از طرف یک شرکت هواپیمایی Delta (دلتا) برای کاربران ارسال میشود، در حال توزیع تروجانهای بانکی و مالی است. به گفته محققان امنیتی این بدافزار تلاش میکند تا به اطلاعات مالی قربانیان دستیابد. به گفته محققان بهترین زمان برای راهاندازی چنین پویشی، ایام تعطیل سال است، چون بلیط هواپیما در این ایام برای مسافرتها بیشتر تخفیف میخورند.
گفته میشود این ایمیلهای فیشینگ طوری طراحی شدند که قربانی را کنجکاو میکنند. در این ایمیل اطلاعاتی در مورد بلیط و پرواز نیست، در صورتی که باید چنین چیزی وجود داشت. در ایمل صرفاً یک پیوند وجود دارد که کاربر ترغیب میشود بر روی آن کلیک کند؛ با اینحال اگر فرد دقیقی باشید و به فرستندۀ آن دقت کنید، متوجه میشوید که نام ارسالکننده نیز به شکل deltaa@ به جای @delta.com آمده که در واقع این آدرس اشتباه میباشد. همچین اگر شما مشتری دائمی شرکت هواپیمایی Delta باشید متوجه خواهید شد که این ایمیل با آنچه که واقعاً باید باشد، متفاوت است.
https://startupforum.ir/images/cdn/2018/04/4106.jpg
پلی به سمت بدافزارهای بیشتر:
منطق پشت پرده این پویش این است که شما مشکوک شوید که کسی اطلاعات مالی شما را به سرقت برده و با استفاده از آن یک بلیط مسافرتی خریده است. با این حال، باید به این مسئله توجه کنید اگر هم چنین اتفاقی رخ داده باشد، چرا باید شما رسید آنرا در ایمیل خود دریافت کنید؟ با تمامی این اوصاف، شما کنجکاو میشوید که بر روی پیوندها کلیک کنید و نمیدانید در آینده قرار است چه تاوان سنگینی را بپردازید.
https://startupforum.ir/images/cdn/2018/04/4107.jpg
پیوندهای موجود در ایمیل، قربانی را به سمت وبگاههای جعلی هدایت میکند که بر روی آن یک پرونده مخرب Word میزبانی شده و با استفاده از آن سامانۀ قربانی به بدافزار Hancitor آلوده میشود. این بدافزار یک پرونده مخرب همهکاره است که معمولاً در بسیاری از حملات فیشینگ مورد استفاده قرار میگیرد.
همچنین Hancitor نامهای دیگر نظیر Chanitor یا TorDal نیز دارد و در واقع یک بدافزار از نوع دانلودر میباشد که تقریباً از سال 2014 پدیدار شده است. دانلودرها پس از استقرار در سیستم قربانی، با سرورهای C2 خود تماس برقرار میکنند و تروجانها، باتها و انواع دیگر از بدافزارها را دانلود و نصب میکنند.
https://startupforum.ir/images/cdn/2018/04/4108.jpg
این دانلودر خاص سه قابلیت اساسی دارد:
1. دانلود فایل exe از یک url و اجرای آن
2. دانلود یک DLL از یک url و اجرای آن بدون نوشتن آن روی دیسک و در عوض نوشتن آن مستقیماً روی فضای حافظه دانلود
3. حذف خودش
هر یک از دستورات فوق ممکن است پس از ارسال یک درخواست http post به سرور C2 از طرف دانلودر، دریافت شوند. این درخواست شامل اطلاعات شناسایی منحصربهفرد قربانی است و مهاجم را قادر میسازد تا به سادگی قربانیان را کنترل کند.
https://startupforum.ir/images/cdn/2018/04/4109.jpg
وقتی بدافزار بر روی سامانه شما نصب شد، مانند پلی برای نصب بدافزارهای دیگر عمل میکند. بدافزارهای دیگری که نصب میشوند متعلق به خانواده Pony هستند که برای سرقت اطلاعات حساس مانند اطلاعات مالی و گذرواژهها مورد استفاده قرار میگیرند. بدافزار دیگری که نصب میشود Zloader نام دارد که یک بدافزار بانکی است و اطلاعات بانکی شما را به سرقت برده و حساب شما را خالی میکند. در ضمن، اگر فایل Word بدخواهانه را دانلود کرده و آنرا باز کنید،Hancitor فرایندهای سیستم قانونی را در کامپیوتر شما با استفاده از کد PowerShell فعال و آلوده خواهد کرد، پس از آن کامپیوتر شما به یک یا چند سرویس فرمان و کنترل (C&C) متصل خواهد شد.
ترجمه: وحید ذبیحالهنژاد
منبع:
سایبر سکیوریتی
https://www.cyberpolice.ir/news/123251