امنیت

فناوری اطلاعات

December 2, 2013
19:45 دوشنبه، 11ام آذرماه 1392
کد خبر: 59180

تروجان جدید، تهدیدی برای کاربران بانکی

محققان امنیتی هشدار داده‌اند که یک تروجان جدید که کاربران خدمات مالی آنلاین را هدف قرار داده است، این پتانسل را دارد که تا چند ماه آینده به سرعت گسترش پیدا کند.
 
بدافزار Neverquest بسیاری از قابلیتهای بدافزارهای مالی دیگر را داراست. این بدافزار می‌تواند محتوای وب سایت هایی که توسط IE یا فایرفاکس باز شده‌اند را تغییر داده و فرم‌های جعلی را به آنها تزریق کند.
 
سپس می‌تواند نامهای کاربری و رمز عبوری که در این وب سایتها توسط قربانی وارد می‌شود را به سرقت برده و به مهاجمان اجازه دهد تا از راه دور و با استفاده از VNC کنترل سیستم های آلوده را در اختیار بگیرند.
 
در پیکربندی پیش فرض این تروجان، 28 وب سایت هدفمند که متعلق به بانکهای بین المللی بزرگ و خدمات عمومی پرداخت آنلاین می شوند، تعریف شده است.
 
با این حال، علاوه بر این وب سایتها، این بدافزار قادر است تا صفحات وبی که کاربر مشاهده می‌کند و حاوی کلمات خاص مانندbalance checking account و account summary هستند را شناسایی کرده و محتوی آن را برای مهاجم ارسال کند. این روش به مهاجمان کمک می کند تا وب سایتهای مالی جدید را شناسایی کنند.
 
پس از آنکه مهاجم اطلاعات لازم در خصوص حساب کاربری کاربر بر روی یک وب سایت را در اختیار گرفت، برای اتصال به کامپیوتر کاربر از طریق VNC از یک سرور پروکسی استفاده می‌کند و به طور مستقیم به حساب کاربری دسترسی پیدا می‌کند. در این مسیر مهاجم باید مکانیزم های حفاظتی حساب کاربری را دور بزند زیرا عملیات انتقال پول از طریق مرورگر قربانی انجام می شود.
 
روش‌هایی که برای توزیع Neverquest استفاده می‌شود شبیه به روشهایی است که برای توزیع کلاینت بات نت Bredolab به کار برده می شود. بات نت Bredolab معروفترین و گسترده‌ترین بدافزار سال 2010 به شمار می‌رود.
 
بدافزار Neverquest اعتبارنامه‌های ورود به حساب را از روی کلاینت FTP برنامه‌های نصب شده بر روی رایانه‌های آلوده به سرقت می‌برد. سپس مهاجمان برای آلوده کردن وب سایتها به بسته کد سوء استفاده Neutrino از این اعتبارنامه‌های FTP استفاده می کنند و بدین وسیله از آسیب پذیری موجود در پلاگین مرورگر سوء استفاده کرده تا بدافزار Neverquest را بر روی رایانه هدف نصب کنند.
 
هم چنین این برنامه تروجان می تواند اعتبارنامه‌های SMTP و POP را از کلاینت‌های ایمیل به سرقت ببرد و برای مهاجمان ارسال کند. بنابراین مهاجمان می توانند با استفاده از این اعتبارنامه‌ها، ایمیل‌های هرزنامه‌ای حاوی الصاقات مخرب را برای کاربر ارسال کنند. این ایمیل ها بسیار شبیه اطلاعیه‌های رسمی از برخی ارائه‌دهندگان خدمات طراحی شده است.
 
انتظار می‌رود تا پایان سال حملات گسترده این بدافزار مشاهده شود به گونه‌ای که بسیاری از کاربران خدمات مالی آنلاین، قربانی این تروجان شوند.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.