تروجان بانکی جیمی از کدهای تروجان NukeBot استفاده می‌کند

کمیته رکن چهارم – آزمایشگاه کسپرسکی کشف کرد که تروجان بانکی جدید Neutrino که اخیرا کشف شده است، قسمت‌هایی از کد منبع NukeBot که در اوایل سال جاری به‌طور عمومی در دسترس قرار گرفته بود را دوباره استفاده می‌کند.

جیمی نام مستعار تروجان جدید کشف شده‌ای است که شباهت بسیار زیادی به NeutrinoPOS دارد، اما از ویژگی‌های آن بار داده‌ی اصلی بازسازی شده به همراه توابع منتقل شده به ماژول‌ها است. به دلیل این تغییر، تروجان جدید دیگر قابلیت ذخیره اطلاعات کارت بانکی از حافظه یک دستگاه آلوده را ندارد، اما محدود به دریافت ماژول‌ها از یک کارگزار راه دور و نصب آن‌ها است.

این بدافزار قادر به انجام یک پویش گسترده در یک میزبان آلوده است، از جمله هر بررسی که از Neutrino به ارث رسیده و بررسی‌هایی که خود این تروجان شامل آن‌ها می‌شود. علاوه بر این، با استفاده از فرمان اسمبلی cpuid، مهاجم اطلاعات مربوط به پردازه‌ها را بازیابی می‌کند و آن را با چک‌سام‌های موجود در آن مقایسه می‌کند.

با این حال، به طور کلی، تروجان به طور جدی بازنویسی شده است. کسپرسکی می‌گوید: «یک تفاوت کوچک که بلافاصله برجسته می‌شود در محاسبه چک‌سام‌ها از نام توابع و کتابخانه‌های واسط‌های برنامه‌نویسی و رشته‌ها است. در اولین مورد، چک‌سام‌ها برای پیدا کردن فراخوانی‌های واسط‌های برنامه‌نویسی مورد نیاز و در مورد دوم، برای مقایسه رشته‌ها (دستورات، نام فرآیندها) استفاده می‌شود. این روش تجزیه و تحلیل ایستا را بسیار پیچیده‌تر می‌کند.»

در حالی‌که NeutrinoPOS از دو الگوریتم برای محاسبه چک‌سام‌ها برای نا‌م‌های فراخوانی واسط‌های برنامه‌نویسی و کتابخانه‌ها و رشته‌ها استفاده می‌کند، جیمی فقط یک الگوریتم برای تمام این اهداف دارد. محققان می‌گویند، پروتکل ارتباطی با کارگزار دستور و کنترل بدون تغییر باقی مانده است. تجزیه و تحلیل عمیق‌تر  تروجان نشان می‌دهد که بار کاری در ماژول‌هایی که در بار داده‌ی اصلی دریافت می‌شوند، گنجانده شده است. این ماژول‌ها شامل تزریق شدن به وب و قابلیت‌های کاوش برای پول مجازی مونرو می‌باشد. 

کد منبع DiscordiaMiner توسط مولف به صورت عمومی در دسترس قرار گرفته است به دلایل مشابه‌ای که باعث شد توسعه‌دهنده NukeBot این کار را انجام دهد (به طور عمده برای اجتناب از اتهام به تقلب)، همچنین روی کاوش در مونرو تمرکز کرده است. ماژول کاوش جیمی شامل یک شناسه برای کیف پول الکترونیکی والت و آدرس این مخزن است و کسپرسکی می‌تواند از آن‌ها برای تعیین این‌که آیا تروجان عملیات کاوش را در اوایل ماه جولای گسترش داده است یا نه، استفاده کند.

ماژول‌های تزریق وب علاوه‌بر این‌که قادر به تزریق کد به صفحات وب هستند، همچنین می‌توانند از صفحه تصویر بردارند، کارگزارهای پروکسی را ایجاد کنند و سایر عملیات مخرب مشابه آن‌چه در NeutrinoPOS انجام می‌شود، انجام دهند. ماژول‌ها به صورت کتابخانه‌ها توزیع می‌شوند و قابلیت‌های مختلفی را براساس نام فرآیندی که در آن قرار دارند، نمایان می‌کنند. همانند NeutrinoPOS، جیمی نیز تعدادی از پارامترهای موجود را در فهرستی ذخیره می‌کند.

محققان توضیح می‌دهند که آن‌ها همچنین موفق به بازیابی یک نمونه آزمایشی تزریق وب شده‌‌اند و در تکرارهای آینده بدافزار ممکن است نسخه‌های جدیدی از آن‌را به دست آورند. آزمایشگاه کسپرسکی همچنین کد بازسازی‌شده جیمی را با کد منبع NukeBot مقایسه کرد و متوجه شد که آن‌ها در برخی موارد به طور کامل همخوانی دارند. بنابراین، واضح است که نویسنده از این کد برای ساختن نسخه‌های بدافزار خود دوباره استفاده کرده است.

منبع : news.asis.io

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.