به گزارش شرکت امنیت سایبری Secureworks، توسعهدهندهی باتنت مخرب TrickBot با هدف درخواست کدهای پین (PIN) از کاربران تلفن همراه، قابلیتهای جدیدی را به بدافزار خود اضافه کرده است. بدافزار TrickBot که توسط گروهی از هکرها که پیش از این با تروجان Dyre در ارتباط بودند، توسعه داده شده است، از اکتبر سال ۲۰۱۶ میلادی فعالیت داشته و صدها سازمان در سراسر جهان، عمدتا مؤسسههای مالی را هدف قرار داده است.
با شروع ماه آگوست سال جاری، اپراتورهای این بدافزار تزریق وبهای (webinjects) مورد استفاده توسط TrickBot را بهمنظور هدف قراردادن سه حامل تلفن همراه بزرگ در آمریکا، یعنی Verizon Wireless (۵ آگوست)، T-Mobile (۱۲ آگوست) و Sprint (۱۹ آگوست) تغییر دادند. به گفتهی شرکت امنیتی Secureworks، بهدنبال این بهروزرسانی، هنگامیکه قربانی به وبسایت یکی از این سازمانها مراجعه میکند، بدافزار TrickBot از پاسخدادن سرور قانونی جلوگیری کرده و از طریق یک سرور دستور و کنترل (C&C) که HTML و JavaScript اضافی به صفحه تزریق میکند، آن را پروکسی مینماید (proxies). بنابراین، بهمحض تحویل این صفحه به مرورگر وب قربانی، یک فیلد اضافی نیز وجود دارد که کد پین کاربر را درخواست میکند.
علاوهبراین، کد تزریقشده به صفحه قابلیت ثبت و ضبط (rcrd) بدافزار TrickBot را با هدف ایجاد یک درخواست HTTP اضافی حاوی نام کاربری، رمزعبور و پین قربانی فعال میکند. این دادهها پس از آن به سرور C&C ارسال میشوند. به گزارش شرکت Secureworks، هدف قراردادن کدهای PIN تلفن همراه توسط این عامل تهدید یا سایر گروههای مرتبط با TrickBot نشان میدهد که مجرمان سایبری ممکن است به کلاهبرداریهای port-out (مهاجرت از یک اپراتور به اپراتور دیگر با حفظ شماره) یا SIM swap (تعویض سیمکارت) علاقهمند باشند.
شرکت امنیتی Secureworks توضیح میدهد: «این کلاهبرداریها به مهاجم اجازه میدهد تا کنترل شمارهی تلفن همراه قربانی، از جمله تمامی ارتباطات متنی و صوتی ورودی و خارجی را بهدست بگیرد. رهگیری توکنهای تأیید اعتبار مبتنیبر سرویس پیام کوتاه (SMS) یا بازنشانی گذرواژه، اغلب هنگام کلاهبرداری Account Takeover (ATO- بهدست آوردن حساب) مورد استفاده قرار میگیرد.» سازمانها برای حفظ امنیت خود، باید بهجای احراز هویت چندعاملی (MFA) مبتنیبر پیام کوتاه از احراز هویت چندعاملی مبتنیبر گذرواژه یکبارمصرف براساس زمان (TOTP) استفاده کنند. علاوهبراین، آنها نباید شمارهی تلفنها را بهعنوان گزینهای برای تنظیم مجدد رمز عبور حسابها مورد استفاده قرار دهند.
