کمیته رکن چهارم – محققان امنیتی هشدار دادند که تروجان بانکی TrickBot از گواهینامههای قانونی SSL در وبگاههای جعلی خود استفاده میکند که این مسئله باعث میشود تا وبگاه مورد نظر بسیار واقعیتر به نظر برسد. در طول یکسال گذشته، بهروزرسانیهای متعددی بر روی این تروجان انجام شده و قابلیتهای مختلفی نیز به آن افزوده شده است.
اخیراً شاهد بودیم که به این بدافزار قابلیتهای کرمگونه نیز اضافه شده و با بهرهبرداری از آن میتواند سامانههای مختلفی را در سطح شبکه هدف قرار دهد. گفته میشود این تروجان در حملات خود، اوتلوک و دادههای مرورگرهای وب را هدف قرار داده است. محققان هشدار دادند بهرغم اینکه وبگاههای مربوط به این تروجان جعلی هستند، ولی به لطف احراز هویت و HTTPS که در کارگزارهای آن وجود دارد، بسیار واقعی جلوه کرده و میتواند قربانیان بالقوه را به بازدید از آن متقاعد کند. این بدافزار از طریق رایانامه با ضمیمههای مخرب توزیع میشود و لازم است تا قربانی این ضمیمههای آلوده را باز کند.
در بخشی از این حمله، مهاجمان رایانامهها را از سمت وبگاهِ بانکهای بسیار معتبر برای قربانیان ارسال میکنند. بسیاری از این وبگاهها توسط GoDaddy با نامها و سرویسهای حریم خصوصی مختلف ثبت شده است. در هرزنامهها از ضمیمههای HTTP برای بارگیری اسناد آفیس تحت HTTPS استفاده میشود. استفاده از این ترافیک رمزنگاری میتواند راهکارهای امنیتی را دور بزند. وقتی کاربر پروندههای آفیس را باز کرد، از او خواسته میشود تا ماکروها را فعال کند. ماکروها در ادامه قادر خواهند بود تروجان بانکی TrickBot را بارگیری و نصب کنند.
محققان امنیتی در طول بازهی زمانی بسیار کوتاهی، تعداد بسیار زیادی از اینگونه رایانامهها را مشاهده کردهاند. آنها توانستند در عرض ۲۵ دقیقه، ۷۵ هزار رایانامه را مسدود کنند. تعداد بسیار زیادی از این هرزنامهها از طرف آدرس IP مربوط به Dutch ارسال شدهاند که در حال حاضر یکی از منابع اصلی ارسال هرزنامه و پویشهای این چنینی محسوب میشود.
محققان اعلام کردند این تروجان بانکی از روشهای فیشینگ بسیار حرفهای استفاده میکند بهطوری که آدرس دامنهها واقعی بوده و از گواهینامههای SSL درست نیز استفاده میشود و در چنین شرایطی حتی کاربران بسیار آگاه نیز ممکن است فریب بخورند. در هرزنامههایی که توسط این پویش ارسال میشود، پروندههای مخرب اکسل ضمیمه شده که IncomingBACs.xlsm نام دارد.
منبع : asis
