کمیته رکن چهارم – گروه X-Force آیبیام هشدار میدهد که یک تروجان بانکی به نام IcedID که به تازگی کشف شده با طراحی پیمانهای و در مقایسه با تهدیدات مالی قدیمیتر، با قابلیتهای مدرنتر ساخته شده است.
این تهدید جدید اولین بار در ماه سپتامبر سال ۲۰۱۷ میلادی به عنوان بخشی از پویشهای آزمایشی مشاهده شد، و در حال حاضر بانکها، ارائهدهندگان کارت پرداخت، ارائهدهندگان خدمات تلفن همراه، حسابهای حقوق و دستمزد، حسابهای پست الکترونیک و وبگاههای تجارت الکترونیک در آمریکا و دو بانک بزرگ در انگلستان را به صورت فعال مورد هدف قرار میدهد.
آیبیام میگوید، با اینکه این تهدید شامل ویژگیهای قابل قیاس با تروجانهای بانکی دیگر است، اما میتواند روشهای پیشرفتهی دستکاری مرورگر را اجرا کند، به نظر نمیرسد که IcedID بخشی از کدها را از تروجانهای دیگر گرفته باشد. با این حال، به دلیل اینکه این تهدید شامل قابلیتهایی است که قابل مقایسه با تروجانهایی مانند Zeus، Gozi و Dridex است، محققان معتقدند که به زودی IcedID بهروزرسانیهای بیشتری را دریافت خواهد کرد.
به عنوان بخشی از پویشهای آلودگی اولیه، این بدافزار بانکی جدید از طریق تروجان Emotet توزیع شده است که تحقیقات X-Force منجر به ایجاد این باور شد که عوامل توزیع آن در حوزهی تهدید جدید نیستند.
آیبیام میگوید، تروجان Emotet در سال جاری برای بسیاری از خانوادههای بدافزار وسیلهی توزیع و انتقال است، که عمدتاً روی آمریکا تمرکز کرده، اما انگلستان و سایر بخشهای جهان را نیز هدف قرار میدهد. در سال ۲۰۱۷ میلادی، Emotet در خدمت گروههای جرایم سایبری اروپای شرقی، از جمله هدایتکنندگان QakBot و Dridex بوده است و اکنون IcedID را به فهرست بار دادهی مخرب خود اضافه کرده است.
تروجان Emotet اولین بار در سال ۲۰۱۴ میلادی به عنوان تروجان بانکی مشاهده شد، که از طریق هرزنامههای مخرب، معمولاً در داخل اسناد حاوی ماکروهای مخربِ آفیس توزیع میشود. هنگامی که Emotet در یک دستگاه وارد میشود به پایداری میرسد و سامانه را در دام یک باتنت میاندازد. همچنین از یک ماژول هرزنامه، یک ماژول کرمواره شبکه برای توزیع بیشتر، و سارقان داده و گذرواژه استفاده میکند.
تروجان IcedID شامل قابلیتهای انتشار در شبکه است که نشان میدهد نویسندگان آن، کسبوکارها را با این تهدید جدید هدف قرار میدهند. آیبیام مشاهده کرد که این بدافزار کارگزارهای ترمینالی را آلوده میکند که معمولاً نقاط پایانی و چاپگرها و دستگاههای مشترک در شبکه با یک نقطه اتصال مشترک به یک شبکهی محلی (LAN) یا یک شبکهی گسترده (WAN) را ارائه میدهند.
محققان میگویند، این تروجان در جستجوی پروتکل دسترسی مستقیم (LDAP) است تا سایر کاربران را شناسایی و آلوده کند. آنها همچنین یادآوری میکنند که، این بدافزار در سیستمهای آسیبدیده، یک پروکسی محلی برای تونل ترافیک ایجاد میکند تا بر فعالیتهای برخط قربانی نظارت کند و هم از تزریق وب و هم از تغییر مسیرها برای انجام عملیات خرابکارانهی خود استفاده کند.
هنگامی که کاربر یک مرورگر وب را باز میکند، تروجان IcedID فایل پیکربندی (حاوی فهرستی از اهداف) را از کارگزار فرمان و کنترل (C&C) بارگیری میکند. همچنین استفاده از لایهی سوکتهای امن (SSL) برای ارتباط با کارگزار مشاهده شده است.
به نظر نمیرسد این بدافزار از دستگاه پیشرفتهی ضد مجازی یا روشهای ضد شناسایی استفاده کند، هر چند برای کامل کردن فرآیند گسترش، نیاز به راهاندازی مجدد دارد، اما به احتمال زیاد از سندباکسهایی که راهاندازی مجدد انجام نمیدهند اجتناب میکند.
روش تغییرمسیرIcedID طراحی شده تا برای قربانی کاملاً یکپارچه نشان داده شود. بنابراین، URL قانونی بانک به همراه گواهینامهی SSL درست بانک در نوار آدرس نشان داده میشود، که به این معنی است که ارتباط با وبگاه واقعی بانک زنده نگه داشته شده است. با این حال، قربانی فریب میخورد تا گواهینامههای خود را در یک صفحه وب جعلی افشاء کند. از طریق مهندسی اجتماعی، این قربانی همچنین در مورد افشاء عناصر مجوز تراکنش نیز فریب میخورد.
در یک پویش واحد در اواخر ماه اکتبر، مشاهده شد که این تروجان با ۴ کارگزار فرمان و کنترل متفاوت در ارتباط است.
اپراتورهای این بدافزار همچنین از یک پنل راه دور اختصاصی مبتنی بر وب استفاده میکنند تا حملات تزریق در وب را برای وبگاههای بانک مورد هدف هماهنگ کنند. این پنل با ترکیبی از نام کاربری و گذرواژه قابل دسترسی است. کارگزاری که پنل با آن ارتباط برقرار میکند مبتنی بر بستر وب OpenResty است.
آیبیام بیان میکند: «پنلهای تزریق در وب معمولاً تجاری هستند که مجرمان از بازارهای مخفی خریداری میکنند. ممکن است که IcedID از یک پنل تجاری استفاده کند و یا خود IcedID یک بدافزار تجاری باشد. با این حال، اکنون هیچ نشانهای وجود ندارد که IcedID در فروشگاههای مخفی یا وب تاریک به فروش میرسد.»
منبع : news.asis.io
