کمیته رکن چهارم – پژوهشگران امنیتی یک شکل جدید و پیشرفته از یک بدافزار را کشف کردهاند که مبتنیبر تروجان بانکی Zeus است و علاوهبر جزئیات حسابهای بانکی اطلاعات دیگری را نیز به سرقت میبرد.
این تروجان بانکی که Terdot نام دارد و از اواسط سال ۲۰۱۶ میلادی شناسایی شده است، در ابتدا با هدف راهاندازی حملات مرد میانی، سرقت اطلاعات مرورگر مانند اطلاعات کارت اعتباری ذخیرهشده و گواهینامههای ورود و تزریق کد HTML در صفحات وب بازدیدشده، به عنوان یک پروکسی عمل کند، طراحی شده بود.
پژوهشگران شرکت امنیتی Bitdefender متوجه شدهاند که تروجان بانکی اکنون با قابلیتهای پیشرفتهی جدیدی مانند استفاده از ابزارهای متنباز برای دور زدن گواهینامههای SSL به منظور دسترسی به حسابهای کاربری رایانامه و رسانههای اجتماعی ظاهر شده است، و حتی از طرف کاربرانی که تحت تاثیر این بدافزار قرار گرفتهاند، توزیع میشود.
تروجان بانکی Terdot این کار را با استفاده از یک پروکسی مرد میانی سفارشیسازیشده انجام میدهد که به این بدافزار اجازه میدهد تا امکان شنود از هر ترافیکی روی یک رایانهی آسیبدیده،داشته باشد.
علاوه بر این، به این نوع جدید از Terdot حتی قابلیتهای بهروزرسانی خودکاری نیز اضافه شده است که به این بدافزار اجازه میدهد تا پروندههایی که توسط کارگزار مدیریت درخواست میشوند را بارگیری و اجرا کند.
تروجان بانکی Terdot وبگاههای بانکی چندین موسسهی کانادایی مانند Royal Bank، Banque Nationale، PCFinancial، Desjardins، BMO (Bank of Montreal)و Scotiabank را هدف قرار داده است.
این تروجان میتواند حسابهای فیسبوک، توییتر و جیمیل شما را به سرقت ببرد
با توجه به آخرین تجزیه و تحلیلهای انجام شده، تروجان Terdot میتواند شبکههای اجتماعی از جمله فیسبوک، توییتر، گوگل پلاس، و یوتیوب، و ارائهدهندگان سرویسهای رایانامه از جمله گوگل، مایکروسافت، و یاهو را هدف قرار دهد.
شرکت امنیتی Bitdefender اشاره کرد: «جالب است که این بدافزار از جمعآوری دادههای مربوط به بزرگترین بستر رسانهی اجتماعی روسی که VKontakte نام دارد، اجتناب میکند. این نشان میدهد که مهاجمان اروپای شرقی پشت این نوع جدید حملات هستند.»
این تروجان بانکی از طریق وبگاههایی که تحت تاثیر کیت بهرهبرداری SunDown قرار گرفتهاند، شروع به توزیع میکند، اما پژوهشگران همچنین مشاهده کردهاند که این بدافزار از طریق یک رایانامهی مخرب با یک دکمه که دارای نماد پیدیاِفِ جعلی است، وارد سامانهی قربانی میشود.
اگر روی این دکمهی جعلی کلیک شود، یک کد جاوا اسکریپت مبهمسازی شده در رایانهی قربانی اجرا میشود که پروندهی این بدافزار را بارگیری و اجرا میکند. این تروجان بانکی برای جلوگیری از تشخیص، از یک زنجیرهی پیچیده از نصبکنندهها، تزریقها، و ابزارهای بارگیری استفاده میکند که اجازه میدهد Terdot به صورت بخش بخش بارگیری شود.
پس از اینکه سامانهی هدف آلوده شد، این تروجان خود را به فرآیند مرورگر تزریق میکند تا به طور مستقیم با پروکسی وب خود ارتباط برقرار کند، ترافیک را بخواند و جاسوسافزار تزریق کند. این تروجان همچنین میتواند اطلاعات احراز هویت را با بررسی درخواستهای کاربر یا تزریق کد جاوا اسکریپتِ جاسوسافزار در پاسخها، به سرقت ببرد.
تروجان Terdot همچنین میتواند با ایجاد اعتبار گواهینامهی خود و ایجاد گواهینامههایی برای تمام دامنههایی که قربانی بازدید میکند، محدودیتهای اِعمال شده توسط امنیت لایهی انتقال (TLS) را دور بزند.
تمام دادههایی که توسط قربانیان به یک بانک یا حساب رسانهی اجتماعی ارسال میشوند، میتوانند در زمان واقعی توسط بدافزار Terdot مورد بازنگری و اصلاح قرار گیرند، و این مسئله به Terdot اجازه میدهد که با ارسال پیوندهای جعلی به سایر حسابهای رسانهی اجتماعی توزیع شود.
شرکت Bitdefender استنتاج کرد: «Terdot یک بدافزار پیچیده است و براساس بدافزار Zeus ساخته شده است. تمرکز این بدافزار روی سرقت گواهینامههای سایر سرویسها مانند شبکههای اجتماعی و سرویسهای رایانامه میتواند آنرا به یک ابزار جاسوسی سایبری بسیار قدرتمند تبدیل کند که کشف و پاک کردن آن بسیار دشوار خواهد بود.»
منبع : news.asis.io
