مهم بدافزار سارق اطلاعات بانکی با میزبانیِ سرویس‌های گوگل و فیسبوک!

[Yazdan 1,703]

انتشارِ یک بدافزار بانکی جدید موجب آلودگی قربانیان پرتغالی زبان در برزیل شده است.

 

(پایگاه خبری امنیت فناوری اطلاعات) , در حالی که این بدافزار جاسوسی یک تهدید قدیمی است که به سال ۲۰۰۹ برمی‌گردد، به گفته شرکت‌های امنیتی حملات خود را دوباره از سر گرفته است.

این حملات که توسط محققان شرکت امنیتی Zscaler شناسایی شده‌اند، اساساً توسط شبکه‌های اجتماعی و بیش‌تر فیسبوک منتشر شده‌اند و از مهندسی اجتماعی برای جلب نظر کاربران برای کلیک کردن روی پیوند کوتاه‌شده‌ی بارگیریِ Bit.ly استفاده می‌کنند که وعده دریافت اعتبار برای خرید و بارگیری نرم‌افزاهای باارزش را می دهد. تعدادی از قربانیان نیز از راه بارگیری‌های بدون اجازه‌ی کاربر مورد حمله قرار گرفته‌اند.

پیوندهای کوتاه شده که در بستر خدمات رایانش ابری گوگل قرار دارند، و پس از ان‌که از آن‌جا بارگیری آغاز می‌شود، بدافزارِ Spy Banker روی سامانه‌ی قربانی نصب می‌شود. هدف این بدافزار، سرقت اطلاعات بانکیِ قربانی است.

پژوهشگر شرکت امنیتی کسپراسکی فابیو آسولینی (Fabio Assolini) می‌گوید که استفاده از مهندسی اجتماعی در فیسبوک واقعاً موثر است زیرا که بر اعتماد کاربران بر پیام‌های ارسالی از این شبکه اجتماعی تکیه دارد.

گزارش شرکت بدافزاری Zscaler که ابتدای هفته منتشر شده است، مثالی را نشان می‌دهد که در آن یک پیوندِ کوتاه شده‌ی bit.ly قربانی را به سمت پرونده‌های PHP که در خدمات رایانش ابری گوگل قرار دارند هدایت می‌کند. پرونده‌های مذکور خود به سمت ۳۰۲ نقطه دیگر هدایت می‌شوند تا مرحله‌ی اول حمله که دریافت پرونده‌ی بارگیریِ بدافزار است را انجام دهند. در این مورد پرونده‌ی اجرایی نشان می‌دهد که پیوندی به خدمات برخط اظهارنامه مالیاتی فدرال برزیل دارد، اما دیگر پیوندها تظاهر می‌کنند که اتصال آنها به مواردی نظیر نرم‌افزارهای ضدبدافزارِ رایگان، شرکت WalMart و واتس‌اپ است.

شرکت بدافزاری Zscaler می‌گوید که این پیوند bit.ly خاص، از تاریخ ۳۰ نوامبر، بیشتر از ۱۰۳ هزار بار کلیک شده است و ۱۰۲ هزار مورد از این کلیک‌ها از طرف کاربران وب‌گاه فیسبوک بوده‌اند.

فهرستی از دامنه‌های آلوده‌ به این بدافزار منتشر شده است. به گفته Zscaler همه این دامنه‌ها به وسیله مرکز ثبت دامنه‌ی GoDaddy حذف شده‌اند.

Zscaler می‌گوید: «باید به این مطلب اشاره کرد که گوگل اکنون کارگزارهای خود را که با وب‌گاه‌های فعال ارتباط داشتند، پاکسازی کرده است و در نتیجه آن، این آلودگی با خطای ۴۰۴ از کار افتاده است.»

این شرکت امنیتی گفته است که بدافزارِ Telax یک پرونده‌ی اجرایی به زبانِ دِلفی است که مشخصات بانکی افراد را سرقت می‌کند. این بدافزار کدهای مخرب را به فرایندهای اصولی مفسرهای ویژوال بیسیک تزریق می‌کند، و قبل از اجرا وجود یک ماشین مجازی را در سامانه‌ بررسی می‌کند.

شرکت Zscaler برخی از قابلیت‌های این بدافزار را آشکار کرده است که شامل دستور مسدود‌سازیِ ماشین مجازی ، دستورات آلوده سازی سامانه، دستورات مربوط به به‌روزرسانی سامانه، ره‌گیری‌های نسخه و پورت‌های فعال سامانه و … هستند.

هنگامی که این بدافزار یک پرونده‌ی اجرایی را برای ارتباط با کارگزارهای فرمان‌دهی و کنترل نصب می‌کند، مهاجم قادر خواهد بود تا هر تعداد دستوری که را که برای دریافت اطلاعات سامانه لازم است از طریق ارسال بدافزارهای جدید صادر کند. که به علاوه‌ی این‌ها می‌تواند از صفحه‌های احراز هویت دو عامله استفاده کند تا کاربر را برای وارد کردن اطلاعات حساب‌های کاربری خود فریب دهد.