افتانا – ظهور تروجان بانکی IcedID

دسته: امنیت
بدون دیدگاه
دوشنبه - 20 نوامبر 2017


محققان درباره ظهور تروجان بانکی تازه‌ای به نام IcedID با قابلیت‌های مدرن‌تر خبر دادند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، گروه X-Force آی‌بی‌ام هشدار می‌دهد که یک تروجان بانکی به نام IcedID که به‌تازگی کشف شده با طراحی پیمانه‌ای و در مقایسه با تهدیدات مالی قدیمی‌تر با قابلیت‌های مدرن‌تر ساخته شده‌است.

این تهدید جدید نخستین‌بار در ماه سپتامبر سال ۲۰۱۷ میلادی به عنوان بخشی از پویش‌های آزمایشی مشاهده شد و در‌حال‌حاضر بانک‌ها، ارائه‌دهندگان کارت پرداخت، ارائه‌دهندگان خدمات تلفن همراه، حساب‌های حقوق و دستمزد، حساب‌های پست الکترونیک و وب‌سایت‌های تجارت الکترونیک در آمریکا و دو بانک بزرگ در انگلستان را به‌صورت فعال مورد هدف قرار می‌دهد.

آی‌بی‌ام می‌گوید با اینکه این تهدید شامل ویژگی‌های قابل قیاس با تروجان‌های بانکی دیگر است، اما می‌تواند روش‌های پیشرفته‌ دستکاری مرورگر را اجرا کند به نظر نمی‌رسد که IcedID بخشی از کدها را از تروجان‌های دیگر گرفته‌باشد. با این حال به دلیل اینکه این تهدید شامل قابلیت‌هایی است که قابل مقایسه با تروجان‌هایی مانند Zeus ،Gozi و Dridex است، محققان معتقدند که به‌زودی IcedID به‌روزرسانی‌های بیشتری را دریافت خواهدکرد.

به عنوان بخشی از پویش‌های آلودگی اولیه، این بدافزار بانکی جدید از طریق تروجان Emotet توزیع شده‌است که تحقیقات X-Force منجر به ایجاد این باور شد که عوامل توزیع آن در حوزه‌ی تهدید جدید نیستند.

آی‌بی‌ام می‌گوید، تروجان Emotet در سال جاری برای بسیاری از خانواده‌های بدافزار وسیله‌ توزیع و انتقال است که عمدتاً روی آمریکا تمرکز کرده، اما انگلستان و سایر بخش‌های جهان را نیز هدف قرار می‌دهد. در سال ۲۰۱۷ میلادی، Emotet در خدمت گروه‌های جرایم سایبری اروپای شرقی ازجمله هدایت‌کنندگان QakBot و Dridex بوده‌است و اکنون IcedID را به فهرست بار داده‌ مخرب خود اضافه کرده‌است.

تروجان Emotet نخستین‌بار در سال ۲۰۱۴ میلادی به‌عنوان تروجان بانکی مشاهده شد که از طریق هرزنامه‌های مخرب، معمولاً در داخل اسناد حاوی ماکروهای مخرب آفیس توزیع می‌شود. هنگامی که Emotet در یک دستگاه وارد می‌شود به پایداری می‌رسد و سامانه را در دام یک بات‌نت می‌اندازد. همچنین از یک ماژول هرزنامه، یک ماژول کرم‌واره‌ شبکه برای توزیع بیشتر و سارقان داده و گذرواژه استفاده می‌کند.

تروجان IcedID شامل قابلیت‌های انتشار در شبکه است که نشان می‌دهد نویسندگان آن، کسب‌وکارها را با این تهدید جدید هدف قرار می‌دهند. آی‌بی‌ام مشاهده کرد که این بدافزار کارگزارهای ترمینالی را آلوده می‌کند که معمولاً نقاط پایانی و چاپگرها و دستگاه‌‌های مشترک در شبکه با یک نقطه اتصال مشترک به یک شبکه‌ محلی (LAN) یا یک شبکه‌ گسترده (WAN) را ارائه می‌دهند.

محققان می‌گویند، این تروجان در جست‌وجوی پروتکل دسترسی مستقیم (LDAP) است تا سایر کاربران را شناسایی و آلوده کند. آنها همچنین یادآوری می‌کنند که این بدافزار در سیستم‌های آسیب‌دیده، یک پروکسی محلی برای تونل ترافیک ایجاد می‌کند تا بر فعالیت‌های برخط قربانی نظارت کند و هم از تزریق وب و هم از تغییر مسیرها برای انجام عملیات خرابکارانه‌ی خود استفاده ‌کند.

هنگامی که کاربر یک مرورگر وب را باز می‌کند، تروجان IcedID فایل پیکربندی (حاوی فهرستی از اهداف) را از کارگزار فرمان و کنترل (C&C) بارگیری می‌کند. همچنین استفاده از لایه‌ سوکت‌های امن (SSL) برای ارتباط با کارگزار مشاهده شده‌است.

به نظر نمی‌رسد این بدافزار از دستگاه پیشرفته‌ ضدمجازی یا روش‌های ضدشناسایی استفاده کند هرچند برای کامل کردن فرایند گسترش، نیاز به راه‌اندازی مجدد دارد، اما به احتمال زیاد از سندباکس‌هایی که راه‌اندازی مجدد انجام نمی‌دهند اجتناب می‌کند.

روش تغییرمسیر IcedID طراحی شده تا برای قربانی کاملاً یکپارچه نشان داده‌شود، بنابراین URL قانونی بانک به همراه گواهی‌نامه‌ SSL درست بانک در نوار آدرس نشان داده‌می‌شود، که به این معنی است که ارتباط با وب‌‌سایت واقعی بانک زنده نگه داشته شده‌است. با این حال، قربانی فریب می‌خورد تا گواهی‌نامه‌های خود را در یک صفحه وب جعلی افشا کند. از طریق مهندسی اجتماعی، این قربانی همچنین در مورد افشای عناصر مجوز تراکنش نیز فریب می‌خورد.

در یک پویش واحد در اواخر ماه اکتبر، مشاهده شد که این تروجان با چهار کارگزار فرمان و کنترل متفاوت در ارتباط است.

اپراتورهای این بدافزار همچنین از یک پنل راه دور اختصاصی مبتنی‌بر وب استفاده‌می‌کنند تا حملات تزریق در وب را برای وب‌سایت‌های بانک مورد هدف هماهنگ کنند. این پنل با ترکیبی از نام کاربری و گذرواژه قابل دسترسی است. کارگزاری که پنل با آن ارتباط برقرار می‌کند مبتنی بر بستر وب OpenResty است.

آی‌بی‌ام بیان می‌کند: «پنل‌های تزریق در وب معمولاً تجاری هستند که مجرمان از بازارهای مخفی خریداری می‌کنند. ممکن است که IcedID از یک پنل تجاری استفاده کند و یا خود IcedID یک بدافزار تجاری باشد. با این حال، اکنون هیچ نشانه‌ای وجود ندارد که IcedID در فروشگاه‌های مخفی یا وب تاریک به فروش می‌رسد.»




نوشته شده توسط:admin - 8510 مطلب
پرینت اشتراک گذاری در فیسبوک اشتراک گذاری در توییتر اشتراک گذاری در گوگل پلاس
بازدید: ۵
برچسب ها: