کمیته رکن چهارم – محققان امنیتی نسخهی جدیدی از تروجان Emotet را مورد بررسی قرار دادند. گفته میشود به این تروجان قابلیتهایی اضافه شده تا امکان توزیع و گسترش در شبکهی داخلی را نیز داشته باشد. در حملات اخیر باجافزاری توسط بدافزارهای «گریه» و «ناتپِتیا» دیدیم که اگر بدافزار دارای قابلیتی باشد که بتواند پس از آلوده کردن یک سامانه، در سطح شبکه گسترش یابد، چقدر میتواند مؤثر واقع شود. با مشاهدهی موفقیتهای این باجافزار، سایر مهاجمان سایبری نیز به دنبال راهی هستند تا این قابلیت را به بدافزار خود اضافه کنند.
تروجان Emotet که با نام Geodo نیز شناخته میشود، مربوط به خانوادهی بدافزارهای Dridex و Feodo است. این بدافزار یک تروجان بانکی است که اطلاعات کارتهای بانکی و اعتباری و همچنین اطلاعات حساس کاربران را در اروپا و آمریکا به سرقت میبرد. در حملاتی که اخیراً از بدافزار Emotet مشاهده شده، محققان متوجه شدند که بهعنوان یک بارگیریکنندهی تروجانهای بانکی دیگر مورد استفاده قرار میگیرد. نوع تروجانِ بانکی به موقعیت جغرافیایی کاربر بستگی دارد.
در حملات اخیر، مؤلفههایی که برای توزیع این بدافزار مورد استفاده قرار گرفته، سعی دارد منابع موجود در شبکه را شمارش کرده و در بخشهای اشتراکی و عمومی شبکه، بدافزار را بنویسد و سرویس راه دور ایجاد کند. سرویسی که ایجاد میشود، «سرویس سامانهی دفاعی ویندوز» نام داشته و بدافزار را بر روی دیسک نوشته و در ادامه اجرا میکند.
اگر منابع اشتراکی با استفاده از گذرواژه محافظت شده باشند، مهاجم برای نفوذ به حسابهای کاربری و مدیریتی و بدست آوردن گواهینامههای آنها، حملات لغتنامهای اجرا میکند. محققان همچنین اشاره کردند ماژولی که برای توزیع در سطح شبکه مورد استفاده قرار میگیرد، به شکل متفاوتی بستهبندی شده و این مسئله نشان میدهد که جزو بخشهای اصلی بدافزار نبوده و توسط یک گروه خاصی مورد استفاده قرار میگیرد.
منبع : securityweek
