کمیته رکن چهارم – با گذشت هر روز، مجرمان سایبری آگاهتر شده و روشهای نوآورانه و محرمانهتری را بهکار میگیرند. آنها اکنون روشهای مخفیانهای را بهکار میگیرند که با بردارهای حملهی نامحدود همراه بوده و شناسایی آنها نیز سختتر است.
در حال حاضر بدافزار جدیدی کشف شده است که برای سرقت اطلاعات کارتهای پرداخت از سامانههای نقطهی فروش (PoS)، به یک روش منحصربهفرد متکی است.
از آنجایی که بدافزار POS جدید برای بهدست آوردن اطلاعات کارتهای اعتباری، بر ترافیک DNS پروتکل دیتاگرام کاربر (UDP) متکی است، پژوهشگران امنیتی آزمایشگاه Forcepoint که این بدافزار را شناسایی کردهاند، آن را UDPoS نامیدهاند.
بدافزار UDPoS بهجای HTTP که در گذشته توسط بسیاری از بدافزارهای POS مورد استفاده قرار میگرفت، از جستارهای سامانهی نام دامنه (DNS) برای ارزیابی اطلاعات به سرقت رفته استفاده میکند. تصور میشود که این بدافزار، اولین نمونه از نوع خود باشد.
این بدافزار علاوه بر استفاده از درخواستهای غیرمعمول DNS برای استخراج دادهها، بهمنظور جلوگیری از شناسایی به هنگام انتقال اطلاعات کارتهای پرداخت ربوده شده از دیوارههای آتش و دیگر کنترلهای امنیتی، خود را بهعنوان یک بهروزرسانی از LogMeIn، یک سرویس قانونی کنترل از راه دور دسکتاپ مورد استفاده برای مدیریت رایانهها و سامانههای از راه دور دیگر، پنهان میکند.
پژوهشگران Forcepoint در یک پست وبلاگی منتشر شده در روز پنجشنبه گفتند: «ما بهتازگی نمونهای را مشاهده کردهایم که بهعنوان یک بستهی سرویس LogMeIn ظاهر شده و درخواستهای DNS غیرمعمول قابلتوجهی را تولید میکند.»
«تحقیقات گستردهتر نشان داد که بدافزار PoS برای سرقت اطلاعات کارتهای پرداخت الکترومغناطیسی طراحی شده است.»
نمونهی بدافزاری تجزیه و تحلیل شده توسط پژوهشگران، بهجای مظنونان همیشگی یعنی آمریکا، چین، کره، ترکیه و روسیه، به یک کارگزار دستور و کنترل (C&C) میزبانی شده در سوئیس نسبت داده شده است. این کارگزار یک پروندهی قطرهای را میزبانی میکند که یک آرشیو خود استخراجکننده حاوی بدافزار واقعی است.
لازم به ذکر است که بدافزار UDPoS تنها میتواند سامانههای POS قدیمی را که از LogMeIn استفاده میکنند، هدف قرار دهد.
مانند بسیاری از بدافزارها، UDPoS نیز بهطور فعال نرمافزارها و ماشینهای مجازی ضدبدافزار را جستجو کرده و در صورت پیدا کردن، آنها را غیرفعال میکند. پژوهشگران میگویند در حال حاضر هنوز مشخص نیست که این بدافزار، در مراحل اولیهی توسعه یا در مرحلهی آزمایش قرار دارد.
گرچه در حال حاضر شواهدی مبنی بر اینکه بدافزار UDPoS برای سرقت اطلاعات کارتهای اعتباری استفاده میشود، وجود ندارد، آزمایشهای Forcepoint نشان دادهاند که این بدافزار با موفقیت قادر به انجام این کار است.
علاوه بر این، یکی از کارگزارهای C&C که هنگام فعال بودن نمونهی بدافزار UDPoS با آن ارتباط برقرار کرده و در طول بررسی تهدید پاسخگو بود، نشان میدهد که نویسندگان حداقل آمادهی این موضوع باشند که این بدافزار در دنیای واقعی نیز گسترش یابد.
لازم به ذکر است که مهاجمان پشت این بدافزار، به خود سرویس LogMeIn آسیب نرسانده و فقط آن را جعل کردهاند. این هفته، LogMeIn در یک پست وبلاگی به مشتریان خود هشدار داد که فریب این کلاهبرداری را نخورند.
LogMeIn اشاره کرد: «بر اساس تحقیقات ما، این بدافزار بهمنظور فریب یک کاربر ناآگاه برای اجرای یک رایانامه، پیوند یا پروندهی مخرب که احتمالا حاوی نام LogMeIn است، طراحی شده است.»
«این پیوند یا پروندهی اجرایی توسط LogMeIn و برای بهروزرسانی محصولات LogMeIn، از جمله وصلهها، بهروزرسانی ها و غیره، ارائه نشده و ما همیشه محصول ایمن تحویل خواهیم داد. شما هرگز با یک درخواست برای بهروزرسانی نرمافزار خود که شامل پیوست یا پیوند به یک نسخه یا بهروزرسانی جدید است، با ما تماس نگیرید.»
به گفتهی پژوهشگران Forcepoint، محافظت در برابر چنین تهدیدی میتواند یک پیشنهاد فریبنده باشد، چراکه «تقریبا تمامی شرکتها دارای دیوارهی آتش و دیگر محافظتها برای نظارت و مسدود کردن ارتباطات مبتنی بر TCP و UDP میباشند»، اما DNS همچنان رفتاری متفاوت داشته و یک فرصت طلایی برای نفوذگرها بهمنظور افشای اطلاعات فراهم میکند.
سال گذشته نیز یک تروجان دسترسی از راه دور (RAT) به نام DNSMessenger کشف شد که از جستارهایDNS برای اجرای دستورات مخرب PowerShell بر روی رایانههای آسیبدیده استفاده کرده و شناسایی بدافزار را بر روی سامانههای مورد هدف دشوار میکرد.
منبع : news.asis.io
