باینری قانونی VMware ابزار انتشار تروجان بانکی شد‎

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

q145

 

به گفته کارشناسان امنیتی سیسکو، باینری قانونی VMware برای توزیع تروجان بانکی مورد بهره‌برداری قرار می‌گیرد.

محققان سیسکو اعلام کردند پویش تروجان بانکی که اخیرا کشف شده‌است برای فریب دادن محصولات امنیتی به‌منظور اجازه دادن به بارگذاری باینری‌های مخرب، باینری قانونی VMware را مورد بهره‌برداری قرار داده‌است.

محققان امنیتی می‌گویند این پویش تلاش می‌کند که با استفاده از روش‌های مختلف مسیریابی مجدد هنگام آلوده کردن دستگاه‌های قربانیان به‌صورت پنهان باقی بماند. علاوه‌بر این، مهاجمان از انواع روش‌های ضد تجزیه‌و‌تحلیل استفاده می‌کنند، در‌حالی‌که همچنان آخرین ظرفیت نوشته‌شده در دلفی، یک روش منحصربه‌فرد را برای چشم‌انداز تروجان بانکی به‌کار می‌گیرند.

با تمرکز عمده بر روی کاربران برزیلی، حمله با ایمیل‌های حاوی هرزنامه‌ مخرب شامل پیام‌های نوشته‌شده به زبان پرتغالی آغاز می‌شود. مهاجمان همچنین تلاش می‌کنند که قربانی را برای باز کردن یک ضمیمه‌ مخرب HTML که به‌عنوان یک صورت‌حساب Boleto ارسال شده‌است، متقاعد کنند. این پرونده‌ HTML شامل یک URL است که در ابتدا به یک URL کوتاه goo.gl هدایت می‌کند، این URL نیز به‌نوبه‌ خود قربانی را به یک پرونده‌ بایگانی RAR هدایت می‌کند که حاوی یک پرونده‌ JAR با کد مخرب است که تروجان بانکی را نصب می‌کند. این کد جاوا محیط کاری بدافزار را راه‌اندازی کرده و سپس پرونده‌های اضافی را از یک کارگزار راه دور بارگیری می‌کند.

محققان امنیتی می‌گویند این کد جاوا، باینری‌های بارگیری شده را تغییر نام داده و نیز یک باینری قانونی از VMware که حتی با امضای دیجیتالی VMware امضا شده‌است را اجرا می‌کند. با بارگیری باینری قانونی، مهاجمان تلاش می‌کنند که برنامه‌های امنیتی را برای اعتماد به کتابخانه‌های بارگذاری شده فریب دهند. با این حال یکی از این کتابخانه‌ها یک پرونده‌ مخرب با نام vmwarebase.dll به‌منظور تزریق و اجرای کد در explorer.exe یا notepad.exe است. ماژول اصلی این تروجان بانکی برای خاتمه دادن به فرایند ابزارهای تجزیه‌و تحلیل و ایجاد یک کلید رجیستری با شروع خودکار طراحی شده‌است.

این ماژول همچنین عنوان یک پنجره در پیش‌زمینه‌ کاربر را به‌دست آورده و به این ترتیب، قادر به شناسایی هریک از پنجره‌های مربوط به موسسات مالی مورد هدف در برزیل است. سپس این تروجان با استفاده از وب و برای فریب کاربران به‌منظور آشکار کردن گواهی‌نامه‌های ورودی خود تزریق می‌شود.

محققان امنیتی می‌گویند یک باینری دیگر با ماژول اصلی با استفاده از Themida بسته‌بندی شده‌است که تجزیه‌وتحلیل آن بسیار دشوار است. همچنین مشاهده شده‌است که این بدافزار، هنگامی که عملی بر روی سیستم آلوده انجام‌می‌شود، رشته‌های خاصی را به کارگزار دستور و کنترل ارسال می‌کند.

سیسکو نتیجه می‌گیرد: «سود مالی همچنان انگیزه‌ بزرگی برای مهاجمان است و به این ترتیب، تکامل بدافزارها همچنان ادامه خواهد داشت. تحلیلگران، تجزیه‌و‌تحلیل این مشکل را با استفاده از بسترهای تجاری مانند Themida ادامه داده و نشان‌می‌دهند که برخی از مهاجمان مایل به به‌دست آوردن این‌گونه بسترهای تجاری برای خنثی کردن تجزیه‌و‌تحلیل‌ها هستند.»