محققان اخیرا نسخه ی پیچیده و جدیدی از تروجان بانکی زئوس را شناسایی کردند که تنها به سرقت اطلاعات بانکی قربانیان اکتفا نمی کند. این نسخه ی جدید از بدافزار Terdot نام داشته و حداقل از اواسط سال ۲۰۱۶ میلادی وجود دارد و به عنوان یک پروکسی برای انجام حملات مرد میانی طراحی شده است. این بدافزار می تواند اطلاعاتی که در مرورگرها ذخیره شده را به سرقت برده و کدهای HTML را در صفحاتِ بازدیدی کاربران تزریق کند.
محققان امنیتی از شرکت بیتیفندر که عملیات این بدافزار را دنبال میکنند اخیرا قابلیت جدیدی را در آن شناسایی کردهاند که میتواند با استفاده از ابزارهای متنباز گواهینامههای SSL کاربران را به سرقت برده و وارد حساب شبکهی اجتماعی و ایمیل آنها شده و حتی به جای آنها پست ارسال کند. تروجان بانکی Terdot این کار را با کمک یک ابزار ویژهی پروکسی مرد میانی انجام میدهد و این توانایی را بدست میآورد که در سیستم آلوده، تمامی ترافیک را شنود کند.
براساس آخرین تجزیه و تحلیلهایی که صورت گرفته، تروجان بانکی Terdot میتواند شبکههای اجتماعی مانند فیسبوک، توییتر، گوگل پلاس و یوتیوب و سرویسدهندههای ایمیل مانند جیمیل گوگل، live.com مایکروسافت و یاهو میل را هدف قرار دهد. بیتدیفندر اشاره کرده است این بدافزار بهطور ویژه از هدف قرار دادن شبکهی اجتماعی متعلق به کشور روسیه اجتناب میکند. این موضوع نشان میدهد که احتمال دارد عوامل این تروجان بانکی از اروپای شرقی باشند.
بسیار مشاهده شده که این تروجان بانکی از طریق سایتهایی که کیت بهرهبرداری SunDown را میزبانی میکنند توزیع میشود ولی در نمونههایی با ایمیلهای حاوی آیکونهای جعلی PDF نیز توزیع شده است. اگر بر روی این آیکون جعلی کلیک شود، یک کد مبهم جاوا اسکریپت اجرا شده و فایلهای مربوط به بدافزار دانلود و اجرا میشود. برای جلوگیری از شناسایی توسط نرمافزارهای امنیتی، از زنجیرهای از نصبکننده و تزریقکنندهها برای نصب بدافزار استفاده میشود.
در سیستمی که به این بدافزار آلوده شده، بدافزار خود را در پردازههای مرورگرها تزریق میکند تا ترافیک را به سمت پروکسی وب خود هدایت کرده، ترافیک را بخواند و جاسوسافزارها را تزریق کند. تروجان بانکی میتواند با شنود درخواستهای ارسالی از سمت قربانی و یا تزریق کدهای مخرب جاوا اسکریپت در پاسخها، اطلاعات مربوط به احراز هویت را به سرقت ببرد. تروجان بانکی Terdot همچنین میتواند با ایجاد مرکز صدور گواهی خود و تولید گواهینامه برای هریک از دامنههایی که قربانی از آن بازدید میکند، محدودیتهای بهوجود آمده با TLS را دور بزند.
در ادامه هر دادهای که قربانی به بانک مورد نظر و یا شبکهی اجتماعی ارسال میکند، توسط بدافزار Terdot شنود شده و میتواند آن را بهطور بلادرنگ ویرایش کند و با ارسال لینکهایی جعلی در شبکههای اجتماعی، میتواند به گسترش خود در سطح آن شبکه بپردازد. برای دریافت اطلاعات بیشتر در مورد این تروجان بانکی، میتوانید گزارش فنی که بیتدیفندر منتشر کرده است را مطالعه کنید.