info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

تروجان بانکی جدید شبیه به Zeus و Dridex

خلاصه: محققان یک تروجان بانکی جدید به نام IdedID را کشف کردند که به Zeus، Gozi  و Dridex شبیه است. این تروجان از طریق بدافزار Emotet که برای جمع‌آوری و نگهداری botnetها طراحی شده است، توزیع می‌شود. در حال حاضر، IcedID بر روی endpointهایی که نسخه‌های مختلف ویندوز را اجرا می‌کنند مستقر می‌شود.

محققان یک تروجان بانکی جدید که IcedID  نامیده می‌شود و شبیه به Gozi، Zeusو Dridex است را کشف کرده‌اند. IcedID که توسط محققان IBM کشف شده است، قابلیت‌هایی شبیه به بدافزار‌های مخرب مالی قبلی دارد. به‌طور کلی شبیه به تروجان‌های بانکی دیگر است.

بسیار نادر است که تروجان‌های بانکی جدید مبتنی بر انواع موجود نباشند. در‌واقع در سال جاری، گسترش Scylex که شباهت‌هایی با Zeus داشت و همچنین یک تروجان به اسم Silence که تکنیک‌های گروه هکری Carbanak را به ‌منظور سرقت از سازمان‌های مالی تقلید می‌کرد دیده شدند.

IcedID که اولین بار در سپتامبر این سال پدیدار شد، بانک‌ها، فراهم‌کنندگان پرداخت بانکی، فراهم‌کنندگان سرویس موبایل، حقوق و دستمزد، Web mail و سایت‌های تجارت الکترونیک در ایالات متحده و کانادا را هدف قرار داد. دو بانک مهم در انگلیس هم در لیست هدف هستند.

یکی از نشانه‌های پیشرفت IcedID توزیع آن از طریق تروجان Emotet است که برای جمع‌آوری و نگهداری botnetها طراحی شده است. Emotet از طریق ایمیل‌های اسپم وارد دستگاه‌های هدف می‌شود و به‌ طور معمول در فایل‌های بهره‌وری حاوی ماکروهای مخرب پنهان شده است. این بدافزار endpoint هدف را آلوده می‌کند و به عنوان یک ابزار خاموش برای گروه‌های سایبری برای توزیع بدافزارهای دیگر، همچنان وجود دارد و در حال حاضر برای ارائه‌ی IcedID استفاده می‌شود که تاکتیک‌ها، حقه‌ها و روش‌هایی دارد که از دیگر ویژگی‌های معمول تروجان‌ها برجسته‌تر هستند.

همانند تروجان GootKit، این تروجان نیز بر فعالیت‌های آنلاین هدف  با تنظیم یک پروکسی محلی برای گوش دادن و رهگیری ارتباط هدف، نظارت دارد. تاکتیک‌های حمله شامل هر دو حملات تزریق Web و حملات پیشرفته‌ی redirection می‌باشند و این شبیه به استراتژی به کار گرفته شده توسط Dridex می‌باشد.

طرح redirection به گونه‌ای پیاده شده است که تا حد ممکن یکپارچه به ‌نظر برسد. URLهای قانونی بانک در نوار آدرس نمایش داده شده‌اند و گواهی SSL صحیح بانک قابل مشاهده است. بدافزار به URL هدف گوش می‌کند و هنگامی که راه‌اندازی می‌شود یک تزریق وب را اجرا می‌کند. قربانیان به یک سایت بانکی جعلی هدایت شده و برای ثبت اطلاعات مجوز خود فریب داده می‌شوند که این اطلاعات به سرورهای مهاجمان ارسال می‌شود.

از این نقطه به بعد، مهاجم نشست را کنترل می‌کند و معمولاً از مهندسی اجتماعی برای فریب دادن قربانی جهت  به اشتراک گذاشتن داده‌های احراز مجوز تراکنش، استفاده می‌کند.

به نظر می‌رسد که گروه مربوط به این بدافزار یک گروه آماتور نیست چراکه پیشرفت کد به ‌صورت ماژولار است و جزئیات متفاوتی از گروه‌های جرم و جنایت سازمان‌یافته را یادآورد می‌شود.

Emotet در ابتدا در بین گروه‌های جرایم سایبری اروپای شرقی مورد استفاده قرار گرفته است. نظرات در مورد کد IcedID عواملی از نواحی روسی زبان را نشان می‌دهد، بنابراین متخصصان می‌توانند دریابند که آن‌ها از یک منطقه‌ی مشخص هستند.

با اینکه محققان معتقدند که این کار یک مهاجم جدید است اما به سختی می‌توان در این مورد نظر قطعی و صریح داد. محققان توضیح می‌دهند که چندین گروه بدافزاری از صحنه خارج شده‌اند و تعداد توسعه‌دهندگانی که می‌دانند چگونه این تروجان را ایجاد کنند زیاد نیست. ممکن است که عوامل، مرتبط با یک بدافزار منحل شده‌ی قبلی باشند اما از آن‌جا که کد، کپی نشده است احتمال آن کم است.

در حال حاضر، IcedID بر روی endpointهایی که نسخه‌های مختلف ویندوز را اجرا می‌کنند مستقر می‌شود و گذشته از نیاز به یک ریبوت برای کامل کردن استقرار و احتمالاً طفره رفتن از سندباکس‌ها و ارتباط برقرار کردن از طریق SSL برای امنیت بیشتر و دور زدن سیستم‌های تشخیص نفوذ هیچ تکنیک ضد ماشین مجازی یا ضد تحقیق پیشرفته‌ای ندارد.

محققان معتقدند که کار صاحبان IcedID هنوز تمام نشده است و در طول زمان ویژگی‌های ضد جرم‌شناسی را به این بدافزار اضافه می‌کنند.

 

تحت نظارت وف ایرانی