بازگشت تروجان Dridex از تعطیلات تابستانی

محققان حوزه امنیت در شرکت Proofpoint اعلام کردند که تروجان Dridex که یکی از پرکارترین تروجان‌های حوزه رایانه در سال‌های اخیر بوده است، پس از توقف از حدود ۲ ماه پیش، به تازگی فعالیت‌های مخرب خود را از سر گرفته است.

طراحان این تروجان پیش از این در ابتدای سال جاری فعالیت‌های خود را با پخش باج‌افزار Locky در فضاهای اینترنتی شروع کردند و فعالیت‌های کمی نیز در ماه ژوئن در خصوص تروجان Dridex داشتند. آن‌ها این تروجان را تنها در قالب ۱۰۰۰ پیام پخش کردند و در همین حال پویش‌های پخش باج‌افزار Locky اقدامات گسترده‌ای داشتند؛ اما محققان به تازگی متوجه افزایش در میزان پخش تروجان Dridex شده‌اند و بنا به اعتقاد محققان، این افزایش می‌تواند حاکی از شروع فعالیت‌های گسترده‌تر این تروجان باشد. بنا به گزارش‌های شرکت Proofpoint، پویش‌های جدید خرابکاری که در گذشته تعداد پیام‌های مخرب ارسالی آن‌ها به میلیون‌ها پیام می‌رسید، در دوره جدید اقدامات خود تنها به ۱۰ ها هزار پیام مخرب بسنده کرده‌اند.

این گزارش‌ها همچنین نشان می‌دهد که بیشترین پخش این بدافزارها در ابتدای هفته گذشته انجام‌شده و بیشتر این حملات علیه سازمان‌های ساخت و تولید و خدمات مالی انجام شده است. این شرکت امنیتی همچنین اعلام کرد که پویش‌های مشاهده‌شده در فضای اینترنتی از ماه ژوئن در کشور سوئیس فعالیت‌های گسترده‌ای داشته‌اند. این شرکت همچنین اعلام کرد که بات‌نت‌ّهای متعددی مانند بات‌نت‌های Dridex ۱۱۲۴، ۱۴۴، ۱۰۲۴، ۱۲۴ و ۳۸۹۲۳ در این حملات مورد استفاده قرار گرفته‌اند. شرکت Proofpoint در ادامه یافته‌های خود اعلام کرده است که کشورهای انگلستان، استرالیا و فرانسه از دیگر کشورهای مقصد این عوامل خرابکاری بوده‌اند. یکی از جدیدترین پویش‌های مشاهده‌شده در تاریخ ۱۵ و ۱۶ آگوست، پویشی بوده است که از Dridex botnet ID ۲۲۸ استفاده کرده است که تعداد پیام بیشتری را برای پخش تروجان ارسال می‌کند.

این بات‌نت دارای تنظیماتی برای وبگاه‌های بانکی در انگلستان، استرالیا، فرانسه و آمریکا است و همچنین پیام‌های رایانامه‌ای مورداستفاده در این حملات دارای پرونده‌های ضمیمه ورد با فرمت DOCM بوده است که در حقیقت دارای پرونده‌های ماکرو مخرب بوده است. استفاده از این نوع از پرونده‌ها در پویش‌های باج‌افزار Locky نیز مرسوم است. باید توجه داشت که این باج‌افزار پس از استفاده از روش‌های مختلف برای پخش بدافزارها در ماه‌های گذشته، جدیداً به پرونده‌های ماکرو روی آورده است. محققان شرکت Proofpoint در تحقیقات خود دریافتند که نمونه تروجان Dridex مشاهده‌شده در پویش یادشده بخش‌های مختلفی مانند انتقال و پردازش پرداخت انتهایی، پایانه‌های فروش و برنامه‌های مدیریت از راه دور را مورد حمله قرار می‌دهد.

تروجان Dridex همچنین پیش از این برنامه‌های مختلفی را مورد حمله قرار داده است، اما بنا به یافته‌های محققان، دامنه فعالیت و حملات این تروجان از ماه آگوست بسیار گسترده‌تر شده است. همچنین یک پویش دیگر مربوط به تروجان Dridex در تاریخ ۱۱ آگوست شناسایی شد که از پرونده‌های ضمیمه DOCM برای پخش بدافزارها استفاده می‌کرده است و با بارگیری و نصب botnet ID ۱۴۴ به وبگاه‌های بانکی از جمله بانک‌های سوئیسی حمله کرده است. پیام‌ها و پرونده‌های ضمیمه مورداستفاده این پویش به زبان آلمانی نگارش شده‌اند که یکی از زبان‌های اصلی در سوئیس است.

محققان همچنین در ادامه تحقیقات خود در اواسط ماه جولای یک پویش دیگر مربوط به تروجان Dridex را مشاهده کردند که با دریافت و نصب botnet ID ۱۲۴ اقدامات مخرب خود را شروع می‌کند. این پویش از پرونده‌های مخرب ورد استفاده می‌کند و متون اصلی آن و همچنین نام پرونده‌های ضمیمه و پیام‌ها در آن به زبان آلمانی نگارش می‌شوند. نظیر همین ویژگی‌ها در یک حمله در ماه ژوئن مشاهده شد که با استفاده از Dridex botnet ID ۳۸۹۲۳ انجام‌شده و چندین وبگاه بانکی مانند چند بانک سوئیسی را مورد حمله قرار داد. محققان شرکت Proofpoint همچنین دریافتند که بخش‌های عملیاتی تروجان Dridex علاوه بر استفاده از رایانامه‌های مخرب، با استفاده از کیت‌های بهره‌برداری عوامل بدافزاری خود را پخش می‌کنند. محققان امنیتی در تاریخ ۹ آگوست مشاهده کردند که کیت بهره‌برداری Neutrino که در حال حاضر بیشترین مورد استفاده را دارد، در حملات تروجان Dridex botnet ID ۱۰۲۴ در سوئیس و انگلستان مورد استفاده قرار گرفته است.

شرکت Proofpoint طی اطلاعیه‌ای در این خصوص اعلام کرد: «تغییر روش جدید در تروجان Dridex در نحوه پخش خود و همچنین قابلیت‌های جدید مشاهده‌شده در آن نشان می‌دهد که این تروجان وارد دوره جدیدی از فعالیت‌های خود شده است و در همین حال پویش‌های گسترده در تلاش‌اند بار دیگر باج‌افزار Locky و بار داده مربوط به آن را پخش کنند. طراحان تروجان Dridex علی‌رغم استفاده از این پویش‌های گسترده و حمله به کشورهای مختلف، هنوز هم به دنبال کسب پول بیشتر از این طریق و حمله به برخی سازمان‌های بزرگ و بخش‌های خدمات مالی هستند.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap