تروجان بانکی Gozi از بات‌نت Dark Cloud برای توزیع استفاده می‌کند

تالوس هشدار می‌دهد، تروجان بانکی شناخته‌شده‌ی Gozi ISFB اخیرا استفاده از بات‌نت Dark Cloud را به منظور توزیع خود آغاز کرده است.

حدود چندین سال از ظهور تروجان Gozi می‌گذرد و در طول سال‌های گذشته کد منبع آن دو بار به صورت برخط منتشر شده است؛ افشاء کد منبع این تروجان باعث توسعه‌ی یک تروجان جدید در سال ۲۰۱۶ میلادی به نام GozNym شد. این بدافزار در طول سال‌های گذشته تاکنون فعال باقی مانده و حتی در پویش‌های اخیر خود فناوری‌های جدیدی، از جمله استفاده از زیرساخت Dark Cloud، را نیز به کار گرفته است.

پویش‌هایی که تالوس در طی چند ماه گذشته مشاهده کرده است، نسبتا کم حجم هستند و سازمان‌های خاصی را هدف قرار می‌دهند، و نشان‌دهنده‌ی تلاش‌های قابل توجهی برای ایجاد رایانامه‌های متقاعد کننده هستند. نه تنها زیرساخت توزیع و دستور و کنترل فقط برای مدت کوتاهی فعال می‌مانند، بلکه عاملان مخرب پشت آن‌ها نیز به سرعت به دامنه‌ها و آدرس‌های آی‌پی جدید منتقل می‌شوند، حتی برای رایانامه‌های فردی که به عنوان بخشی از یک پویش مشترک ارسال می‌شوند.

 

هرزنامه‌ها دارای ضمیمه‌های اسناد مایکروسافت ورد هستند. وقتی این اسناد باز شوند، این پرونده‌ها یک تصویر جعلی را نشان می‌دهند که ادعا می‌کند که این سند با استفاده از آفیس ۳۶۵ ایجاد شده است و کاربر باید قابلیت‌های Enable Editing و Enable Content فعال کند تا بتواند به محتوای این سند دسترسی پیدا کند. اگر قربانی این قابلیت‌ها را فعال کند، ماکروهای جاسازی‌شده در این اسناد برای بارگیری و اجرای بدافزار فعال می‌شوند.

ماکروی VBA برای این‌که بتواند راه‌کارهای حفاظتی جعبه‌ شنی را دور بزند، معمولا وقتی اجرا می‌شود که سند بسته شود. این ماکرو یک پرونده‌ی HTA را از یک کارگزار راه دور بارگیری می‌کند که بدون اطلاع کاربر اجرا می‌شود. فرآیند آلوده‌سازی با اجرای یک اسکریپت جاوااسکریپتِ مبهم‌سازی‌شده ادامه می‌یابد تا یک اسکریپت پاورشل رابرای بارگیری و اجرای بار داده‌ی نهایی در دستگاه قربانی اجرا کند.

 

اکثر اسناد مخرب مورد استفاده در این پویش در سه‌ ماهه‌ی چهارم ۲۰۱۷ میلادی، شخصی‌سازی شده‌اند. اگرچه به نظر می‌رسد این اسناد مشابه هستند، در ماکروهای جاسازی‌شده، کد، و حتی رنگ تصویر جعلی با هم تفاوت دارند.

تالوس همچنین متوجه شد که این پویش برای چندین سال ادامه داشته، و تصویر موجود در این اسناد و همچنین کد VBA موجود در ماکرو‌های مخرب در طول زمان تغییر کرده‌اند. پژوهش‌گران حتی چند سند محلی نیز مشاهده کرده‌اند که نشان می‌دهد، هر کدام از حملات بسیار سفارشی‌شده و هدفمند هستند.

بار داده‌ی نهایی معمولا یک تروجان بانکی مبتنی‌بر کد پایه‌ی Gozi ISFB است، اما خانواده‌‌های بدافزار دیگر مانند CryptoShuffler، Sennoma و SpyEye نیز مشاهده شده‌اند.

ابزار بارگذاری بدافزار مورد استفاده در این حملات از قابلیت ضد مجازی‌سازی استفاده می‌کند و دارای دو نسخه از یک DLL مشابه است که هر کدام از آن‌ها معماری متفاوتی را هدف قرار می‌دهند. بسته به دستگاه قربانی، این ابزار بارگیری کننده یکDLL  ۳۲ بیتی و یا ۶۴ بیتی را به فرآیند explorer.exe تزریق می کند.

زیرساخت توزیع مورد استفاده در این پویش‌ها با بات‌نت Dark Cloud هم‌پوشانی دارد، این بات‌نت برای اولین بار در سال ۲۰۱۶ میلادی مورد تجزیه و تحلیل قرار گرفت. تالوس خاطرنشان کرد، این بات‌نت برای توزیع و مدیریت خانواده‌های بدافزار مختلف از جمله Gozi ISFB و Nymaim مورد استفاده قرار گرفته است.

در جولای سال ۲۰۱۶ میلادی، شرکت امنیتی SentinelOne گزارشی درباره‌ی Furtim رابط بدافزار SFG منتشر کرد و همچنین نشان داد که ارتباطی بین بدافزار Qbot و بات‌نت Dark Cloud وجود دارد.

این بات‌نت از فناوری‌های شار سریع استفاده می‌کند تا ردیابی زیرساخت‌های پشت‌صحنه‌ی خود را مشکل‌تر کند. تالوس توضیح می‌دهد: «مهاجمان با تغییر مکرر اسناد DNS مرتبط با دامنه‌های مخرب می‌توانند از یک شبکه‌ی گسترده از پروکسی‌ها استفاده کنند، تغییر مداوم آدرس‌های آی‌پی برای مدیریت ارتباطات با کارگزارهای وبِ تحت کنترل مهاجم مورد استفاده قرار گرفته است.»

 

با بررسی دامنه‌ها و آدرس‌های آی‌پی مرتبط با این زیرساخت، پژوهش‌گران متوجه شدند که این پویش فعالیت‌های سایبری مختلف از جمله انجمن‌‌های کاردینگ (فعالیت‌های مربوط به سرقت اطلاعات کارت‌های بانکی و فروش آن‌ها در انجمن‌های زیرزمینی)، کنترل و توزیع بدافزار، و ارسال هرزنامه را انجام می‌دهد.

تالوس همچنین کشف کرد که مهاجمان از پروکسی‌ها و میزبان‌های اروپای غربی، اروپای مرکزی، و آمریکای شمالی استفاده نمی‌کنند، بلکه عمدتا پروکسی‌ها و میزبان‌های واقع در اروپای شرقی، آسیا، وخاورمیانه را مورد استفاده قرار می‌دهند.

تالوس نتیجه‌گیری کرد: «Gozi ISFB یک تروجان بانکی است که به طور گسترده‌ای توسط مهاجمانی که سازمان‌های سراسر جهان را هدف قرار می‌‌دهد، مورد استفاده قرار می‌گیرد. چندین سال از ظهور این تروجان می‌گذرد، و ادامه‌ی این پویش‌ها نشان می‌دهد که فعالیت‌ آ‌ن‌ها در آینده‌ی نزدیک متوقف نخواهد شد. مهاجمان در حال تغییر فناوری‌های خود و یافتن راه‌های موثر جدیدی هستند تا زیرساخت کارگزار مخرب خود را مبهم کنند تا بتوانند تجزیه و تحلیل و ردیابی فعالیت‌های خود را دشوارتر کنند.»

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید