آخرین اخبار
صفحه اصلی
اخبار

باینری قانونی VMware، برای توزیع تروجان بانکی مورد بهره‌برداری قرار می‌گیرد

تاریخ:
در: اخبار, اسلاید, امنیت سایبری
دیدگاهتان را بنویسید:
776 نمایش ها

کمیته رکن چهارم – محققان سیسکو اعلام کردند پویش تروجان بانکی که اخیرا کشف شده است، برای فریب دادن محصولات امنیتی به‌منظور اجازه دادن به بارگذاری باینری‌های مخرب، باینری قانونی VMware را مورد بهره‌برداری قرار داده است.

 محققان امنیتی می‌گویند این پویش تلاش می‌کند که با استفاده از روش‌های مختلف مسیریابی مجدد هنگام آلوده کردن دستگاه‌های قربانیان، به‌صورت پنهان باقی بماند. علاوه بر این، مهاجمان از انواع روش‌های ضد تجزیه و تحلیل استفاده می‌کنند، در حالی‌که همچنان آخرین ظرفیت نوشته شده در دِلفی، یک روش منحصربه‌فرد برای چشم‌انداز تروجان بانکی، را به‌کار می‌گیرند.

با تمرکز عمده بر روی کاربران برزیلی، حمله با رایانامه‌های حاوی هرزنامه‌ی مخرب شامل پیام‌های نوشته شده به زبان پرتغالی آغاز می‌شود. مهاجمان همچنین تلاش می‌کنند که قربانی را برای باز کردن یک ضمیمه‌ی مخرب HTML که به‌عنوان یک صورت‌حساب Boleto ارسال شده است، متقاعد نمایند. این پرونده‌ی HTML شامل یک URL است که در ابتدا به یک URL کوتاه goo.gl هدایت می‌کند، این URL نیز به‌نوبه‌ی خود قربانی را به یک پرونده‌ی بایگانی RAR هدایت می‌نماید که حاوی یک پرونده‌ی JAR با کد مخرب می‌باشد که تروجان بانکی را نصب می‌کند. این کد جاوا محیط کاری بدافزار را راه‌اندازی کرده و سپس پرونده‌های اضافی را از یک کارگزار راه دور بارگیری می‌نماید.

محققان امنیتی می‌گویند این کد جاوا، باینری‌های بارگیری شده را تغییر نام داده و نیز یک باینری قانونی از VMware، که حتی با امضای دیجیتالی VMware امضاء شده است را اجرا می‌کند. با بارگیری باینری قانونی، مهاجمان تلاش می‌کنند که برنامه‌های امنیتی را برای اعتماد به کتابخانه‌های بارگذاری شده فریب دهند. با این حال، یکی از این کتابخانه‌ها یک پرونده‌ی مخرب با نام vmwarebase.dll به‌منظور تزریق و اجرای کد در explorer.exe یا notepad.exe است. ماژول اصلی این تروجان بانکی برای خاتمه دادن به فرآیند ابزارهای تجزیه و تحلیل و ایجاد یک کلید رجیستری با شروع خودکار طراحی شده است.

این ماژول همچنین عنوان یک پنجره در پیش‌زمینه‌ی کاربر را به‌دست آورده و به این ترتیب، قادر به شناسایی هریک از پنجره‌هایمربوط به موسسات مالی مورد هدف در برزیل می‌باشد. سپس این تروجان با استفاده از وب و برای فریب کاربران به‌منظور آشکار کردن گواهی‌نامه‌های ورودی خود تزریق می‌شود. محققان امنیتی می‌گویند یک باینری دیگر با ماژول اصلی، با استفاده از Themida بسته‌بندی شده است که تجزیه و تحلیل آن بسیار دشوار است. همچنین مشاهده شده است که این بدافزار، هنگامی که عملی بر روی سامانه‌ی آلوده انجام می‌شود، رشته‌های خاصی را به کارگزار دستور و کنترل ارسال می‌کند.

سیسکو نتیجه می‌گیرد: «سود مالی همچنان انگیزه‌ی بزرگی برای مهاجمان است و به این ترتیب، تکامل بدافزارها همچنان ادامه خواهد داشت. تحلیل‌گران، تجزیه و تحلیل این مشکل را با استفاده از بسترهای تجاری مانند Themida ادامه داده و نشان می‌دهند که برخی از مهاجمان مایل به به‌دست آوردن این‌گونه بسترهای تجاری برای خنثی کردن تجزیه و تحلیل‌ها هستند.»

منبع : news.asis.io

برچسب ها:

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Blue Captcha Characters Below.