ظهور تروجان بانکی جدید به نام IcedID

گروه X-Force آی‌بی‌ام هشدار می‌دهد که یک تروجان بانکی به نام IcedID که به تازگی کشف شده با طراحی پیمانه‌ای و در مقایسه با تهدیدات مالی قدیمی‌تر، با قابلیت‌های مدرن‌تر ساخته شده است.

این تهدید جدید اولین بار در ماه سپتامبر سال ۲۰۱۷ میلادی به عنوان بخشی از پویش‌های آزمایشی مشاهده شد، و در حال حاضر بانک‌ها، ارائه‌دهندگان کارت پرداخت، ارائه‌دهندگان خدمات تلفن همراه، حساب‌های حقوق و دستمزد، حساب‌های پست الکترونیک و وب‌گاه‌های تجارت الکترونیک در آمریکا و دو بانک بزرگ در انگلستان را به صورت فعال مورد هدف قرار می‌دهد.

آی‌بی‌ام می‌گوید، با این‌که این تهدید شامل ویژگی‌های قابل قیاس با تروجان‌های بانکی دیگر است، اما می‌تواند روش‌های پیشرفته‌ی دستکاری مرورگر را اجرا کند، به نظر نمی‌رسد که IcedID بخشی از کدها را از تروجان‌های دیگر گرفته باشد. با این حال، به دلیل این‌که این تهدید شامل قابلیت‌هایی است که قابل مقایسه با تروجان‌هایی مانند Zeus، Gozi و Dridex است، محققان معتقدند که به زودی IcedID به‌روزرسانی‌های بیشتری را دریافت خواهد کرد.

 

 

به عنوان بخشی از پویش‌های آلودگی اولیه، این بدافزار بانکی جدید از طریق تروجان Emotet توزیع شده است که تحقیقات X-Force منجر به ایجاد این باور شد که عوامل توزیع آن در حوزه‌ی تهدید جدید نیستند.

آی‌بی‌ام می‌گوید، تروجان Emotet در سال جاری برای بسیاری از خانواده‌های بدافزار وسیله‌ی توزیع و انتقال است، که عمدتاً روی آمریکا تمرکز کرده، اما انگلستان و سایر بخش‌های جهان را نیز هدف قرار می‌دهد. در سال ۲۰۱۷ میلادی، Emotet در خدمت گروه‌های جرایم سایبری اروپای شرقی، از جمله هدایت‌کنندگان QakBot و Dridex بوده است و اکنون IcedID را به فهرست بار داده‌ی مخرب خود اضافه کرده است.

تروجان Emotet اولین بار در سال ۲۰۱۴ میلادی به عنوان تروجان بانکی مشاهده شد، که از طریق هرزنامه‌های مخرب، معمولاً در داخل اسناد حاوی ماکروهای مخربِ آفیس توزیع می‌شود. هنگامی که Emotet در یک دستگاه وارد می‌شود به پایداری می‌رسد و سامانه را در دام یک بات‌نت می‌اندازد. همچنین از یک ماژول هرزنامه، یک ماژول کرم‌واره‌ شبکه برای توزیع بیش‌تر، و سارقان داده و گذرواژه استفاده می‌کند.

تروجان IcedID شامل قابلیت‌های انتشار در شبکه است که نشان می‌دهد نویسندگان آن، کسب‌وکارها را با این تهدید جدید هدف قرار می‌دهند. آی‌بی‌ام مشاهده کرد که این بدافزار کارگزارهای ترمینالی را آلوده می‌کند که معمولاً نقاط پایانی و چاپ‌گرها و دستگاه‌‌های مشترک در شبکه با یک نقطه اتصال مشترک به یک شبکه‌ی محلی (LAN) یا یک شبکه‌ی گسترده (WAN) را ارائه می‌دهند.

محققان می‌گویند، این تروجان در جستجوی پروتکل دسترسی مستقیم (LDAP) است تا سایر کاربران را شناسایی و آلوده کند. آن‌ها همچنین یادآوری می‌کنند که، این بدافزار در سیستم‌های آسیب‌دیده، یک پروکسی محلی برای تونل ترافیک ایجاد می‌کند تا بر فعالیت‌های برخط قربانی نظارت کند و هم از تزریق وب و هم از تغییر مسیرها برای انجام عملیات خرابکارانه‌ی خود استفاده ‌کند.

هنگامی که کاربر یک مرورگر وب را باز می‌کند، تروجان IcedID فایل پیکربندی (حاوی فهرستی از اهداف) را از کارگزار فرمان و کنترل (C&C) بارگیری می‌کند. همچنین استفاده از لایه‌ی سوکت‌های امن (SSL) برای ارتباط با کارگزار مشاهده شده است.

به نظر نمی‌رسد این بدافزار از دستگاه پیشرفته‌ی ضد مجازی یا روش‌های ضد شناسایی استفاده کند، هر چند برای کامل کردن فرآیند گسترش، نیاز به راه‌اندازی مجدد دارد، اما به احتمال زیاد از سندباکس‌هایی که راه‌اندازی مجدد انجام نمی‌دهند اجتناب می‌کند.

 

 

روش تغییرمسیرIcedID  طراحی شده تا برای قربانی کاملاً یکپارچه نشان داده شود. بنابراین، URL قانونی بانک به همراه گواهی‌نامه‌ی SSL درست بانک در نوار آدرس نشان داده می‌شود، که به این معنی است که ارتباط با وب‌گاه واقعی بانک زنده نگه داشته شده است. با این حال، قربانی فریب می‌خورد تا گواهی‌نامه‌های خود را در یک صفحه وب جعلی افشاء کند. از طریق مهندسی اجتماعی، این قربانی همچنین در مورد افشاء عناصر مجوز تراکنش نیز فریب می‌خورد.

در یک پویش واحد در اواخر ماه اکتبر، مشاهده شد که این تروجان با ۴ کارگزار فرمان و کنترل متفاوت در ارتباط است.

اپراتورهای این بدافزار همچنین از یک پنل راه دور اختصاصی مبتنی بر وب استفاده می‌کنند تا حملات تزریق در وب را برای وب‌گاه‌های بانک مورد هدف هماهنگ کنند. این پنل با ترکیبی از  نام کاربری و گذرواژه قابل دسترسی است. کارگزاری که پنل با آن ارتباط برقرار می‌کند مبتنی بر بستر وب OpenResty است.

آی‌بی‌ام بیان می‌کند: «پنل‌های تزریق در وب معمولاً تجاری هستند که مجرمان از بازارهای مخفی خریداری می‌کنند. ممکن است که IcedID از یک پنل تجاری استفاده کند و یا خود IcedID یک بدافزار تجاری باشد. با این حال، اکنون هیچ نشانه‌ای وجود ندارد که IcedID در فروشگاه‌های مخفی یا وب تاریک به فروش می‌رسد.»

 

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید