کمیته رکن چهارم – کارشناسان بخش X-Force شرکت آیبیام اعلام کردهاند که تروجان بانکی TrickBot که شباهت زیادی به بدافزار Dyre دارد، فهرست نسبتاً کاملی از اهداف و روشهایی را در اختیار دارد که میتوانند مرورگرها را دستکاری کنند.
به گزارش کمیته رکن چهارم،لیمور کسام، مشاور بخش امنیت آیبیام در بولتن امنیتی ماهانه آیبیام نوشت: «ما انتظار داریم کمپین آلودهسازی و حملات کلاهبردارانه این بدافزار با قدرت زیادی اجرایی شوند؛ حملاتی که عمدتاً حسابهای متعلق به کسبوکارها و شرکتها را نشانه گرفتهاند است. TrickBot در سه ماه گذشته و در طول فرایند آزمون و توسعه، مسیر پیشرفت خود را با سرعت زیادی پشت سر گذاشته است. این تروجان مجهز به دو تکنیک فوقپیشرفته است که بهمنظور دستکاری و ویرایش مرورگرها استفاده میشود. تروجانهای بانکی در سالهای گذشته بهوفور از این تکنیکهای ویرایشی استفاده کردهاند.»
بررسیهای بخش X-Force نشان میدهد که این بدافزار شباهت بسیار زیادی به بدافزار بانکی Dyre دارد و طیف گستردهای از ویژگیها و کدهایی که در هر دو پلتفرم استفاده شدهاند، با یکدیگر وجه اشتراک دارند. شواهد اینگونه نشان میدهند که TrickBot با حملاتی که بانکهای استرالیایی را تحت تأثیر خود قرار داده، در ارتباط است. در این حملات نیز همانند کدهایی که درون بدافزار Dyre استفاد شدهاند، از طیف گستردهای از تکنیکهای تزریق کد استفاده شده بود. با این حال، طراحان بدافزار Dyre هماکنون در زندان روسیه دوران محکومیت خود را پشت سر میگذارند.
گروه امنیتی X-Force آیبیام اعلام کرده است: «TrickBot خود را با چند ویژگی جدید وفق داده و اهداف جدیدی برای خود پیدا کرده است. از جمله اهداف این بدافزار میتوان به سایتهای شخصی و سایتهای بانکی تجاری مؤسسات مالی در کشورهای انگلستان، نیوزلند، استرالیا، کانادا و آلمان اشاره کرد.» کسام در بخشی از یادداشت خود آورده است: «هکرهایی که در پسزمینه طراحی TrickBot بودند، در گام نخست تمرکزشان بر حملات تغییر مسیر و تزریق کد سمت سروری بود که تعدادی از سرورهای متعلق به بانکها از آنها استفاده میکردند. اما زمانی که بولتن امنیتی آیبیام در ماه نوامبر منتشر شد، مشاهده کردیم که تعدادی از تاکتیکهای این بدافزار نیز تغییر کرده است و توسعهدهندگان این بدافزار دو پیکربندی جدید را در اوایل ماه جاری میلادی برای بدافزار TrickBot پایهریزی کردند.»
این تغییر تاکتیکی، فراتر از اضافه کردن آدرسهای اینترنتی بهمنظور پیکربندی بدافزار بود؛ روشی که علیه بانکهای انگلیسی استفاده شد تا پیادهسازی حملات تغییر مسیر سفارشی را امکانپذیر سازد، در واقع پیشرفتهترین راهکار برای دستکاری فاکتورهایی به شمار میرود که کاربر در مرورگر خود قادر به مشاهده آنها است. کسام در بخش دیگری از صحبتهای خود گفته است: «تروجان TrickBot بر عکس پسرعموی خود Dyre، با راهاندازی تبلیغات مخرب، به کارگیری کیت نفوذی RIG، ضمیمههای مخرب ایمیلی و نیز ماکروهای آلوده آفیس که از طریق دانلودکننده گودزیلا ارائه میشوند، تقویت شده است. این ویژگیهای منحصربهفرد نشان میدهند که گروه پشتیبانیکننده این بدافزار حسابهای تجاری خاصی را هدف گرفتهاند. این گروه هرزنامههایی مشتمل بر بدافزارهای مختلف را برای کمپینها ارسال میکنند و به ارسال ساده ایمیلهای کمدردسر رضایت نمیدهند.»
تحلیلهای گروه امنیتی آیبیام نشان میدهد که هکرها فرایند پیشرفت و بهروز شدن این بدافزار را بهطور مرتب دنبال میکنند و تکنیکهای آلودهسازی این تروجان در هر زمانی متفاوت با زمان دیگر است. محتملترین نظریهای که در زمینه تکامل مستمر این بدافزار میتوان ارائه کرد، این است که طراحان این بدافزار، شبانهروزی در شبکههای توزیعکننده بدافزارها حضور دارند. این حضور پیوسته نه تنها باعث میشود آنها از هرگونه تلاش شرکتهای امنیتی باخبر باشند، بلکه به آنها اجازه میدهد با هکرهای دیگر در تعامل باشند و سطح دانش خود را ارتقا دهند. نمونهای از تروجان TrickBot که گروه امنیتی آیبیام آنها را بررسی کرده است، مشتمل بر یک دانلودکننده سفارشی موسوم به TrickLoader بوده است. این دانلودکننده پیشتر در روبات هرزنامهای Cutwall هم استفاده شده بود. به عقیده کارشناسان آیبیام این دانلودکننده همانند دانلودکنندهای است که پیشتر گروه Dyre در کمپین هرزنامهای خود از آن استفاده کرده بود.
منبع:رسانه خبری امنیت اطلاعات