امنیت

فناوری اطلاعات

December 18, 2015
12:54 جمعه، 27ام آذرماه 1394
کد خبر: 75064

فیس بوک و گوگل راه را برای بدافزار بانکی Spy Banker هموار ساختند!

نسخه جدید بدافزار بانکی Spy Banker این بار پرتغالی زبانان ساکن کشور برزیل را هدف قرار داده است. قدمت این بدافزار به سال 2009 میلادی باز می گردد. گفتنی است که شبکه اجتماعی فیس بوک و سرورهای ابری گوگل راه را برای این بدافزار و قربانی کردن کاربران نیز هموار ساخته اند. 
 
نماینده انحصاری شرکت پاندا سکیوریتی در ایران، فایل دانلودر تروجان بانکی "Spy Banker" اینبار روی سرورهای ابری گوگل ذخیره و به کمک شبکه اجتماعی فیس بوک با مجاب کردن کاربران به کلیک بر روی لینک های کوتاه آلوده، کار خود را آغاز کرده است.
 
براساس این گزارش این نرم افزار مخرب از طریق تکنیک های مهندسی اجتماعی و فریب کاربران بویژه در فیس بوک با وعده دریافت کوپن های تخفیف و دانلود رایگان برنامه های تجاری، آنها را به کلیک کردن بر روی لینک های قرار داده شده خود دعوت می کنند.
 
براساس گزارش کارشناسان امنیتی zScaler، این لینک های کوتاه شده توسط سرویس bit.ly به جای اشاره داشتن به لینک های معتبر به  سرور مورد نظر مجرمان متصل می شود. این سرور در پلت فرم ابری گوگل قرار دارد و بدافزار دانلودر Spy Banker که نوعی تروجان به حساب می آید را از آنجا دریافت و در سیستم کاربر قربانی نصب می کند.
 
فایل دانلودر با پسوند های .com و .exe به سیستم قربانی منتقل می شود. این بدافزار پس از تکمیل عملیات نصب فوراً اقدام به سرقت اطلاعات بانکی کاربران می کند. این فایل آلوده اکثراً با نام های زیر انتشار پیدا کرده است:
 
americanas.com
americanas.exe
app.ricardoeletro.com
atube.com
baixaki.com
receitanet.com
ricardoeletro.com
setup.exe
submarino.com
voucher.americanas.com
voucher.mercadolivre.com
voucher.ricardoeletro.com
walmart.com
web.whatsapp.com
whatsapp_setup.exe
WhatsApp_Setup.exe
 
بر اساس گزارش Zscaler طی مدت 20 اکتبر تا 30 نوامبر، بیش از 103 هزار کلیک از سوی کاربران بر روی یکی از آن لینک های کوتاه شده مشخص که 102 هزار مورد از آن ها از طریق شبکه اجتماعی فیس بوک انجام گرفته است. Zscaler از تعدادی از این لینک ها و دامنه آنها رونمایی و اشاره داشته که هاستینگ اغلب آنها در گوگل به صورت ابری بوده است.
 
مطابق آخرین اعلام شرکت گوگل، بسیاری از این لینک ها پاکسازی شده و صفحه خطای معروف 404 را به هنگام کلیک بر روی لینک های مخرب نمایش می دهد.
 
با استناد به این گزارش شمار زیادی از قربانی های این بدافزار ساکن برزیل بوده و بخش اندکی نیز اهل ایالت متحده آمریکا و کشور پرتغال بوده اند. برخی از قابلیت های این بدافزار عبارتند از دستور مسدود کردن VM (ماشین مجازی)، دستورات تزریق، دستورات بروزرسانی، پیگیری نسخه، درگاه ها و … که توسط این گزارش ارائه شده اند. در واقع پس از برقراری ارتباط با سرور با اجرای این دستورات سرقت اطلاعات را تحقق می بخشد.
 
شرکت امنیتی پاندا به تمامی کاربران اینترنت توصیه می کند که موارد ایمنی زیر را رعایت نمایند:
 
هرگز روی لینک های ناشناخته در شبکه های اجتماعی کلیک نکنند. 
هرگز ایمیل هایی که از سمت افراد ناشناس برایتان ارسال می شود را باز نکنید.
هرگز بر روی لینک های قرار گرفته در پایین هرزنامه ها و ایمیل های تبلیغاتی کلیک نکنید.
اگر با وارد کردن آدرس وب سایتی به وب سایت دیگری Redirect شدید، آن صفحه را فوراً ببندید.
هرگز پیوست نامه های ناشناس را دانلود و اجرا نکنید.
تمامی ماژول های امنیتی ضدویروس خود را در حالت فعال نگه دارید.
ضدویروس خود را بصورت مستمر به روز نگاه دارید.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.