پویشی به تازگی مشاهده شده که از سرورهای آلودهی FTP بهعنوان مکانی برای دانلود فایلها و اسناد مخرب استفاده میکند. در نهایت نیز سیستم قربانیان با تروجان بانکی Dridex آلوده میشود. در این پویش در قالب ایمیلها از دو نوع فایل و سند مختلف برای آلوده کردن ماشین قربانی استفاده شده است. یکی از انواع فایلها، اسناد ورد آفیس هستند که از ویژگی DDE در آنها برای نصب بدافزار استفاده میشود. نوع دیگری از فایلها XLS هستند که در آنها کدهای ماکرو برای واکشی تروجان بانکی اضافه و تعبیه شده است.
این تروجان در چند سال گذشته در ردهی مخربترین بدافزارها بوده و عوامل آن بهطور پیوسته بر روی بهبود کارایی آن و اضافه کردن قابلیتهای جدید کار کردهاند. این تروجان با هدف کلاهبرداریهای مالی، اطلاعات و گواهینامههای بانکی کاربران را به سرقت میبرد. در این پویش، ایمیلهای مخرب مربوط به بدافزار، از تاریخ ۱۷ ژانویه مشاهده شدهاند که معمولا به دامنههای .com ارسال شدهاند. تحلیلها نشان میدهد کشورهای فرانسه، انگلستان و استرالیا بیش از بقیهی جاها تحت تاثیر این توجان بانکی و پویش جدید قرار گرفتهاند.
به نظر نمیرسد سرورهای آلودهی FTP که در این پویش مورد بهرهبرداری قرار گرفتهاند از یک نرمافزار یکسانی استفاده کرده باشند. محققان امنیتی معتقدند مهاجمان در حملهی دیگری، پسوردهای این سرورها را بدست آورده و از آنها در حملات بعدی خود برای توزیع تروجان بانکی بهرهبرداری کردهاند.
ایمیلهایی که در این پویش ارسال شده، به نظر میرسد از باتنت Necurs فرستاده شده باشد. این باتنت در حال حاضر بزرگترین باتنت در حوزهی ارسال هرزنامه محسوب میشود. این باتنت مدتها ست که به توزیع تروجان بانکی Dridex میپردازد. نکتهی دیگری که محققان به آن اشاره کردهاند این است که در این پویش، نسبت به پویشهای قبلی باتنت Necurs، تعداد ایمیلهایی که ارسال شده بسیار کمتر بوده است. در این حمله فقط ۹۵۰۰ ایمیل مشاهده شده در حالیکه در پویشهای معمول این باتنت، میلیونها هرزنامه ارسال میشود. استفاده از سرورهای FTP برای دانلود بدافزار نیز شیوهی جدیدی است که در این پویش مشاهده شده است.
مهاجمان سایبری بهطور مداوم تکنیکهای خود را تغییر میدهند تا درصد آلودگی را بیشتر کنند. استفاده از سرورهای FTP برای دانلود تروجان بانکی نیز در این راستا بوده است. چرا که بسیاری از سیستمهای ایمیل به بستههای FTP در قالب ترافیک مطمئن نگاه میکنند. همچنین مشاهدهی پسوردهای سرورهای FTP در بستهها این نکته را یادآور میشود که بهطور مداوم باید پسوردها را بهروزرسانی کرد.
