ورود به سایت ثبت نام در سایت فراموشی کلمه عبور
نام کاربری در این سایت می تواند هم فارسی باشد و هم انگلیسی





اگر فرم ثبت نام برای شما نمایش داده نمی‌شود، اینجا را کلیک کنید.









اگر فرم بازیابی کلمه عبور برای شما نمایش داده نمی‌شود، اینجا را کلیک کنید.





پاسخ به موضوع

ارسال پاسخ به این موضوع :: گسترش تروجان‌های بانکی از طریق spam

پیام شما

 

Send Trackbacks to (Separate multiple URLs with spaces)

شما میتوانید برای پیغام خود یک آیکون از لیست زیر انتخاب کنید

امکانات اضافی این بخش

  • تبدیل از www.example.com به [URL]http://www.example.com[/URL].

نمایش پست ها (ابتدا جدیدترین)

  • 2018/04/23, 22:51
    Ali Homaei

    گسترش تروجان‌های بانکی از طریق spam





    هرزنامه‌هایی که با عنوان تأیید پرداخت از طرف یک شرکت هواپیمایی Delta (دلتا) برای کاربران ارسال می‌شود، در حال توزیع تروجان‌های بانکی و مالی است. به گفته محققان امنیتی این بدافزار تلاش می‌کند تا به اطلاعات مالی قربانیان دست‌یابد. به گفته محققان بهترین زمان برای راه‌اندازی چنین پویشی، ایام تعطیل سال است، چون بلیط‌ هواپیما در این ایام برای مسافرت‌ها بیشتر تخفیف می‌خورند.


    هرزنامه‌هایی که با عنوان تأیید پرداخت از طرف یک شرکت هواپیمایی Delta (دلتا) برای کاربران ارسال می‌شود، در حال توزیع تروجان‌های بانکی و مالی است. به گفته محققان امنیتی این بدافزار تلاش می‌کند تا به اطلاعات مالی قربانیان دست‌یابد. به گفته محققان بهترین زمان برای راه‌اندازی چنین پویشی، ایام تعطیل سال است، چون بلیط‌ هواپیما در این ایام برای مسافرت‌ها بیشتر تخفیف می‌خورند.

    گفته می‌شود این ایمیل‌های فیشینگ طوری طراحی شدند که قربانی را کنجکاو می‌کنند. در این ایمیل اطلاعاتی در مورد بلیط و پرواز نیست، در صورتی که باید چنین چیزی وجود داشت. در ایمل صرفاً یک پیوند وجود دارد که کاربر ترغیب می‌شود بر روی آن کلیک کند؛ با این‌حال اگر فرد دقیقی باشید و به فرستندۀ آن دقت کنید، متوجه می‌شوید که نام ارسال‌کننده نیز به شکل deltaa@ به جای @delta.com آمده که در واقع این آدرس اشتباه می‌باشد. همچین اگر شما مشتری دائمی شرکت هواپیمایی Delta باشید متوجه خواهید شد که این ایمیل با آنچه که واقعاً باید باشد، متفاوت است.



    پلی به سمت بدافزارهای بیشتر:
    منطق پشت پرده این پویش این است که شما مشکوک شوید که کسی اطلاعات مالی شما را به سرقت برده و با استفاده از آن یک بلیط مسافرتی خریده است. با این حال، باید به این مسئله توجه کنید اگر هم چنین اتفاقی رخ داده باشد، چرا باید شما رسید آن‌را در ایمیل خود دریافت کنید؟ با تمامی این اوصاف، شما کنجکاو می‌شوید که بر روی پیوندها کلیک کنید و نمی‌دانید در آینده قرار است چه تاوان سنگینی را بپردازید.



    پیوندهای موجود در ایمیل، قربانی را به سمت وب‌گاه‌های جعلی هدایت می‌کند که بر روی آن یک پرونده مخرب Word میزبانی شده و با استفاده از آن سامانۀ قربانی به بدافزار Hancitor آلوده می‌شود. این بدافزار یک پرونده‌ مخرب همه‌کاره است که معمولاً در بسیاری از حملات فیشینگ مورد استفاده قرار می‌گیرد.

    همچنین Hancitor نام‌های دیگر نظیر Chanitor یا TorDal نیز دارد و در واقع یک بدافزار از نوع دانلودر می‌باشد که تقریباً از سال 2014 پدیدار شده است. دانلودرها پس از استقرار در سیستم قربانی، با سرورهای C2 خود تماس برقرار می‌کنند و تروجان‌ها، بات‌ها و انواع دیگر از بدافزارها را دانلود و نصب می‌کنند.



    این دانلودر خاص سه قابلیت اساسی دارد:
    1. دانلود فایل exe از یک url و اجرای آن
    2. دانلود یک DLL از یک url و اجرای آن بدون نوشتن آن روی دیسک و در عوض نوشتن آن مستقیماً روی فضای حافظه دانلود
    3. حذف خودش

    هر یک از دستورات فوق ممکن است پس از ارسال یک درخواست http post به سرور C2 از طرف دانلودر، دریافت شوند. این درخواست شامل اطلاعات شناسایی منحصربه‌فرد قربانی است و مهاجم را قادر می‌سازد تا به‌ سادگی قربانیان را کنترل کند.



    وقتی بدافزار بر روی سامانه شما نصب شد، مانند پلی برای نصب بدافزارهای دیگر عمل می‌کند. بدافزارهای دیگری که نصب می‌شوند متعلق به خانواده‌ Pony هستند که برای سرقت اطلاعات حساس مانند اطلاعات مالی و گذرواژه‌ها مورد استفاده قرار می‌گیرند. بدافزار دیگری که نصب می‌شود Zloader نام دارد که یک بدافزار بانکی است و اطلاعات بانکی شما را به سرقت برده و حساب شما را خالی می‌کند. در ضمن، اگر فایل Word بدخواهانه را دانلود کرده و آن‌را باز کنید،Hancitor فرایندهای سیستم قانونی را در کامپیوتر شما با استفاده از کد PowerShell فعال و آلوده خواهد کرد، پس از آن کامپیوتر شما به یک یا چند سرویس فرمان و کنترل (C&C) متصل خواهد شد.

    ترجمه: وحید ذبیح‌اله‌نژاد
    منبع:
    سایبر سکیوریتی


    https://www.cyberpolice.ir/news/123251

مجوز های ارسال و ویرایش