ارز رمزنگاری‌شده، به زودی هدف تروجان بانکداری Dridex‌

محققان امنیتی به تازگی خبر از مشاهده یک نسخه جدید از تروجان Dridex می‌دهند که در تنظیمات رایانه‌ای مورد استفاده این محققان اختلال ایجاد می‌کند. علاوه بر این، بررسی نمونه‌های جدید این تروجان حاکی از این است که نسخه‌های بعدی این تروجان بسیار خطرناک، قادر خواهند بود اطلاعات اعتبارنامه بخش‌های ارز رمزنگاری‌شده را به دست آورده و از آن‌ها سوءاستفاده کنند.

تروجان Dridex که با نام‌های Bugat و Cridex نیز شناخته می‌شود، نمونه‌ای از تروجان‌های بانکی است که با استفاده از بات‌نت (دستگاهی که تروجان آن را آلوده می‌کند)، اقدام به انجام برخی عملیات غیرقانونی مانند ارسال هرزنامه می‌کند.

گروه طراح این تروجان که یک گروه حقیقی و معروف در حوزه جرائم فضای مجازی هستند، همواره در حال به‌روزرسانی کد منبع این تروجان هستند و ویژگی‌ها و روش‌های جدیدی را برای جلوگیری از شناسایی این تروجان توسط نرم‌افزارهای امنیتی استفاده می‌کنند.

شرکت Forcepoint طی گزارشی در این خصوص برخی تغییرات سطحی رخ‌داده در کد منبع این تروجان را بررسی کرده است. این کدها از بررسی و تحلیل محققان حوزه بدافزار و نرم‌افزارهای امنیتی طی چند ماه گذشته جلوگیری می‌کرده‌اند. این شرکت علاوه بر این گزارش‌هایی را نیز در خصوص آینده این تروجان تنظیم کرده است.

گزارش‌های این شرکت نشان می‌دهد که بیشتر تغییرات اساسی و قابل‌توجه این تروجان در بخش پرونده تنظیمات آن ایجاد شده است. این پرونده در تغییرات جدید این تروجان از کارگزار ارشد کنترل و فرمان‌دهی تروجان به سامانه‌های کاربران ارسال می‌شود و قالب رمزنگاری‌شده باینری دارد و مانند سابق، به شکل پرونده ساده و بدون رمزنگاری XML نیست. این اقدام طراحان تروجان باعث شده است که اجرای روش‌های مهندسی معکوس و شناسایی تروجان امری سخت باشد. در عین حال، مهم‌ترین تغییر مشاهده‌شده در نسخه‌های جدید این تروجان، قابلیت اضافه کردن میزبان‌های مشکوک به لیست سیاه است.

همان‌گونه که بررسی و تحلیل‌ها نشان می‌دهد، تروجان Dridex به سرعت کاربران را آلوده نمی‌کند. این تروجان در بخش ابتدایی فرآیند آلوده‌سازی با استفاده از بخش آپلودکننده‌ی Dridex ، اطلاعات را در مورد هر میزبان جمع‌آوری می‌کند و سپس آن‌ها را به کارگزار تروجان ارسال می‌کند. نوع اطلاعاتی که این بخش جمع‌آوری می‌کند شامل نام رایانه، نوع، نسخه و تاریخ نصب سامانه‌عامل و اطلاعات مربوط به سامانه مانند نرم‌افزارهای نصب‌شده است.

علاوه بر این، گروه طراحان این تروجان با گذر زمان یک پایگاه اطلاعاتی را از اطلاعات مربوط به کاربران ساخته‌اند. طراحان عملیاتی این تروجان پس از طراحی و ساخت این پایگاه اطلاعاتی دریافته‌اند که اگر این اقدام در گذشته انجام می‌شد، می‌توانستند به راحتی کاربرانی را که از نرم‌افزارهای مهندسی معکوس و نرم‌افزارهای امنیتی استفاده می‌کنند به راحتی شناسایی کنند.

در عین حال، در نسخه‌های جدید تروجان Dridex، طراحان برخی ایستگاه‌های کاری را حذف کرده‌اند. برای مثال، در صورتی که سامانه کاربر در لیست سیاه قرار گرفته باشد، تروجان از ارسال بخش‌های آلوده‌ساز اصلی خودداری خواهد کرد.

شرکت Forcepoint در این خصوص معتقد است که این‌گونه اقدامات که در نسخه‌های جدید مشاهده می‌شود، بر اساس نرم‌افزارهای نصب‌شده روی سامانه انجام شده است و از طرف دیگر، این اقدامات بر اساس نام کاربری رایانه و تاریخ نصب سامانه‌عامل آن انجام شده است. محققان می‌توانند در این خصوص تحقیقات بیشتری را انجام دهند.

محققان شرکت Forcepoint در بخش دیگری از بررسی‌های خود دریافتند که طراحان این تروجان به تازگی اقدام به پویش سامانه‌های آلوده کرده‌اند تا از این طریق نام بخش‌های ذخیره ارز رمزنگاری‌شده‌ی کاربران را سرقت کنند. اگرچه این اقدام در میان تروجان‌های بانکی مرسوم است، اما این تروجان روشی جدیدتر را برای این منظور برگزیده است.

این تروجان که می‌تواند با استفاده از اطلاعات ورود کاربران، وارد درگاه‌های بانکی برخط، نرم‌افزارهای پایانه فروش و نرم‌افزارهای بانکداری تخصصی شود، در نسخه‌های جدید خود اقدام به ساخت یک پایگاه اطلاعاتی از نرم‌افزارهای ذخیره ارز رمزنگاری‌شده کرده است که بیشترین دفعات استفاده توسط کاربران را داشته‌اند. به همین دلیل، دور از انتظار نیست که طراحان این تروجان با استفاده از این پایگاه اطلاعاتی، در نسخه‌های بعدی اقدام به سرقت بیت‌کوین‌ها و ارزهای دیجیتال کاربران کنند.

در تصویر زیر، فهرستی از بخش‌های ذخیره بیت‌کوین و ارز رمزنگاری‌شده که به تازگی مورد پویش تروجان Dridex بوده است را مشاهده می‌کنید. در این خصوص باید توجه داشت که این تروجان علاوه بر این کار، نام دیگر برنامه‌ها را نیز مورد پویش قرار می‌دهد. در حال حاضر، نام‌هایی که به وفور در میان این بخش‌ها مشاهده می‌شوند، Coinbase، Bitcore، CoinsBank، BreadWallet و … هستند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.