تروجان بانکی که می‌تواند حساب‌های فیس‌بوک، توییتر و جی‌میل شما را به سرقت ببرد

 

محققان اخیرا نسخه ی پیچیده و جدیدی از تروجان بانکی زئوس را شناسایی کردند که تنها به سرقت اطلاعات بانکی قربانیان اکتفا نمی کند. این نسخه ی جدید از بدافزار Terdot نام داشته و حداقل از اواسط سال ۲۰۱۶ میلادی وجود دارد و به عنوان یک پروکسی برای انجام حملات مرد میانی طراحی شده است. این بدافزار می تواند اطلاعاتی که در مرورگرها ذخیره شده را به سرقت برده و کدهای HTML را در صفحاتِ بازدیدی کاربران تزریق کند.


محققان امنیتی از شرکت بیت‌یفندر که عملیات این بدافزار را دنبال می‌کنند اخیرا قابلیت جدیدی را در آن شناسایی کرده‌اند که می‌تواند با استفاده از ابزارهای متن‌باز گواهی‌نامه‌های SSL کاربران را به سرقت برده و وارد حساب شبکه‌ی اجتماعی و ایمیل آن‌ها شده و حتی به جای آن‌ها پست ارسال کند. تروجان بانکی Terdot این کار را با کمک یک ابزار ویژه‌ی پروکسی مرد میانی انجام می‌دهد و این توانایی را بدست می‌آورد که در سیستم آلوده، تمامی ترافیک را شنود کند. 


براساس آخرین تجزیه و تحلیل‌هایی که صورت گرفته، تروجان بانکی Terdot می‌تواند شبکه‌های اجتماعی مانند فیس‌بوک، توییتر، گوگل پلاس و یوتیوب و سرویس‌دهنده‌های ایمیل مانند جی‌میل گوگل، live.com مایکروسافت و یاهو میل را هدف قرار دهد. بیت‌دیفندر اشاره کرده است این بدافزار به‌طور ویژه از هدف قرار دادن شبکه‌ی اجتماعی متعلق به کشور روسیه اجتناب می‌کند. این موضوع نشان می‌دهد که احتمال دارد عوامل این تروجان بانکی از اروپای شرقی باشند.


بسیار مشاهده شده که این تروجان بانکی از طریق سایت‌هایی که کیت بهره‌برداری SunDown را میزبانی می‌کنند توزیع می‌شود ولی در نمونه‌هایی با ایمیل‌های حاوی آیکون‌های جعلی PDF نیز توزیع شده است. اگر بر روی این آیکون جعلی کلیک شود، یک کد مبهم جاوا اسکریپت اجرا شده و فایل‌های مربوط به بدافزار دانلود و اجرا می‌شود. برای جلوگیری از شناسایی توسط نرم‌افزارهای امنیتی، از زنجیره‌ای از نصب‌کننده و تزریق‌کننده‌ها برای نصب بدافزار استفاده می‌شود.


در سیستمی که به این بدافزار آلوده شده، بدافزار خود را در پردازه‌های مرورگرها تزریق می‌کند تا ترافیک را به سمت پروکسی وب خود هدایت کرده، ترافیک را بخواند و جاسوس‌افزارها را تزریق کند. تروجان بانکی می‌تواند با شنود درخواست‌های ارسالی از سمت قربانی و یا تزریق کدهای مخرب جاوا اسکریپت در پاسخ‌ها، اطلاعات مربوط به احراز هویت را به سرقت ببرد. تروجان بانکی Terdot همچنین می‌تواند با ایجاد مرکز صدور گواهی خود و تولید گواهی‌نامه برای هریک از دامنه‌هایی که قربانی از آن بازدید می‌کند، محدودیت‌های به‌وجود آمده با TLS را دور بزند.


در ادامه هر داده‌ای که قربانی به بانک مورد نظر و یا شبکه‌ی اجتماعی ارسال می‌کند، توسط بدافزار Terdot شنود شده و می‌تواند آن را به‌طور بلادرنگ ویرایش کند و با ارسال لینک‌هایی جعلی در شبکه‌های اجتماعی، می‌تواند به گسترش خود در سطح آن شبکه بپردازد. برای دریافت اطلاعات بیشتر در مورد این تروجان بانکی، می‌توانید گزارش فنی که بیت‌دیفندر منتشر کرده است را مطالعه کنید.
 

 

منبع

پست‌های مشابه

Leave a Comment