بهره‌برداری از سرورهای FTP برای دانلود تروجان بانکی Dridex

 

پویشی به تازگی مشاهده شده که از سرورهای آلوده‌ی FTP به‌عنوان مکانی برای دانلود فایل‌ها و اسناد مخرب استفاده می‌کند. در نهایت نیز سیستم قربانیان با تروجان بانکی Dridex آلوده می‌شود. در این پویش در قالب ایمیل‌ها از دو نوع فایل و سند مختلف برای آلوده کردن ماشین قربانی استفاده شده است. یکی از انواع فایل‌ها، اسناد ورد آفیس هستند که از ویژگی DDE در آن‌ها برای نصب بدافزار استفاده می‌شود. نوع دیگری از فایل‌ها XLS هستند که در آن‌ها کدهای ماکرو برای واکشی تروجان بانکی اضافه و تعبیه شده است. 


این تروجان در چند سال گذشته در رده‌ی مخرب‌ترین بدافزارها بوده و عوامل آن به‌طور پیوسته بر روی بهبود کارایی آن و اضافه کردن قابلیت‌های جدید کار کرده‌اند. این تروجان با هدف کلاه‌برداری‌های مالی، اطلاعات و گواهی‌نامه‌های بانکی کاربران را به سرقت می‌برد. در این پویش، ایمیل‌های مخرب مربوط به بدافزار، از تاریخ ۱۷ ژانویه مشاهده شده‌اند که معمولا به دامنه‌های .com ارسال شده‌اند. تحلیل‌ها نشان می‌دهد کشورهای فرانسه، انگلستان و استرالیا بیش از بقیه‌ی جاها تحت تاثیر این توجان بانکی و پویش جدید قرار گرفته‌اند. 

به نظر نمی‌رسد سرورهای آلوده‌ی FTP که در این پویش مورد بهره‌برداری قرار گرفته‌اند از یک نرم‌افزار یکسانی استفاده کرده باشند. محققان امنیتی معتقدند مهاجمان در حمله‌ی دیگری، پسوردهای این سرورها را بدست آورده و از آن‌ها در حملات بعدی خود برای توزیع تروجان بانکی بهره‌برداری کرده‌اند. 


ایمیل‌هایی که در این پویش ارسال شده، به نظر می‌رسد از بات‌نت Necurs فرستاده شده باشد. این بات‌نت در حال حاضر بزرگ‌ترین بات‌نت در حوزه‌ی ارسال هرزنامه محسوب می‌شود. این بات‌نت مدت‌ها ست که به توزیع تروجان بانکی Dridex می‌پردازد. نکته‌ی دیگری که محققان به آن اشاره کرده‌اند این است که در این پویش، نسبت به پویش‌های قبلی بات‌نت Necurs، تعداد ایمیل‌هایی که ارسال شده بسیار کمتر بوده است. در این حمله فقط ۹۵۰۰ ایمیل مشاهده شده در حالی‌که در پویش‌های معمول این بات‌نت، میلیون‌ها هرزنامه ارسال می‌شود. استفاده از سرورهای FTP برای دانلود بدافزار نیز شیوه‌ی جدیدی است که در این پویش مشاهده شده است.


مهاجمان سایبری به‌طور مداوم تکنیک‌های خود را تغییر می‌دهند تا درصد آلودگی را بیشتر کنند. استفاده از سرورهای FTP برای دانلود تروجان بانکی نیز در این راستا بوده است. چرا که بسیاری از سیستم‌های ایمیل به بسته‌های FTP در قالب ترافیک مطمئن نگاه می‌کنند. همچنین مشاهده‌ی پسوردهای سرورهای FTP در بسته‌ها این نکته را یادآور می‌شود که به‌طور مداوم باید پسوردها را به‌روزرسانی کرد. 
 

منبع

پست‌های مشابه

Leave a Comment