بازگشت تروجان URLZone با هدف ضربه زدن به بانک‌های ژاپنی

پس از حدود دو تا سه سال خاموشی نسبی، گروه پشت پرده‌ی تروجان URLZONE در چند ماه گذشته به فعالیت بیشتری پرداخته و بانک‌ها را در اروپا و از آغاز ماه قبل در ژاپن هدف خود قرار داده‌اند.
بر اساس اظهارات Limor Kessem یک فعال امنیت سایبری در آی‌بی‌ام، که درباره‌ی آخرین تحرکات این بدافزار مطالبی را نوشته است، مهاجمان شروع به ارسال هرزنامه‌هایی با ضمیمه‌های آلوده به مشتریان به چهارده بانک در ژاپن نموده‌اند.
او نوشته است: «خود این بدافزار پیچیده و بغرنج تلقی می‌شود، اما به نظر می‌رسد فهرست اهداف آن و آنچه را در وب تزریق می‌کند، ابتدایی باشد و ممکن است توسط یک فروشنده از نفوذگران کلاه‌سیاه خریده و تخصصی شده باشد.»
این بدافزار می‌تواند به شکلی خاص آرام و آهسته حرکت کند. پس از سرقت پول قربانی، در برخی از موارد،‌ URLZone خط تراکنش را با تزریق‌های HTML پنهان می‌سازد، به طوری که به نظر می‌رسد هیچ پولی گرفته نشده است.
برای پنهان کردن فهرست حساب کاربر، معروف است که این بدافزار از کارگزار فرمان‌دهی و کنترل خود به ارسال شماره‌ی حساب‌های بانکی نامربوط برای گیج کردن بیشتر محققان و بانک‌ها می‌پردازد.
بر اساس اظهارات Kessem این بدافزار با استفاده از ویژگی‌های زیر به کلاه‌برداری از مشتریان بانکی می‌پردازد:
– سرقت اعتبارنامه‌های مشتری؛
– گرفتن تصویر از صفحه‌نمایش؛
– تزریق وب برای مهندسی اجتماعی و پنهان کردن ترازنامه حساب بانکی؛
– استفاده از سامانه‌ی مدیریت تنظیم تراکنش؛
– استفاده از الگوریتم تولید دامنه‌ی DGA برای برگرداندن دوباره ارتباطات بات‌نت؛
– ارتباطات رمزگذاری شده مرکز کنترل و فرمان‌دهی؛
– رمزگذاری پرونده‌‌های پیکربندی تزریق وب، و
– ویژگی‌های استادانه‌ی امنیتی در گریز از کشف و بررسی.

آی‌بی‌ام اشاره می‌کند که در حالی‌که URLZone اساساً از سال‌های ۲۰۱۳ تا ۲۰۱۵ خاموش مانده بود، در ماه آگوست گذشته یک نسخه‌ی جدید از این بدافزار ظاهر شده است. این نسخه‌ی جدید نه تنها به خاطر این‌که در روش گریز از شناسایی هنگام پرداخت ارتقاء یافته است، بلکه به طراحی ویژه‌ای برای هدف قرار دادن مشتریان مختلف بانکی در کشورهای انگلستان، ایتالیا، لهستان و کرواسی نیز مجهز شده است. در ماه دسامبر سال گذشته، مهاجمان با استفاده از این بدافزار به بانک‌هایی در اسپانیا حمله کرده بودند.
محققان اعلام کرده‌اند در حالی‌که هنوز هم این بدافزار مشغول این کار است، اما بیشتر حملات خود را متوجه ژاپن کرده است.
URLZone آخرین عضو یک گروه سه‌گانه است که در سال گذشته دید خود را به ژاپن معطوف نموده‌اند. یکی از گروه‌ها از یک تروجان پیچیده‌ی Shifu برای حمله به ۱۴ بانک در ژاپن در ماه آگوست استفاده کرد در حالی‌که گروه دیگری که کشف شده‌ است در اوایل ماه دسامبر تروجان Rovnix را از طریق یک پرونده‌ی پیوستی رایانامه با پسوند .zip گسترش می‌دادند.
برخلاف سایر تروجان‌ها، URLZone به کرات از سال ۲۰۰۹ در آمد و شد بوده است.
گروه پشت این بدافزار در یکی از حملات روزهای اولیه‌ی خود، این بدافزار URLZone را با ابزار نفوذی LuckySploit ترکیب کردند و موفق شدند ۳۰۰ هزار یورو از مشتریان یک بانک آلمانی در طول چند هفته‌ی اول فعالیت خود سرقت کنند.
تقریباً در همان زمان، مهاجمان شروع به تولید داده‌های حساب‌های کاربری تقلبی برای گم کردن رد پای خود از دید محققان کردند.
محققان بر این باور هستند که ممکن است Shifu و Rovnix راه را برای تجدید حیات URLZone باز کرده باشند. هر کدام از قربانیان آلوده به هرزنامه، نشان می‌دهند که این گروه‌های خلاف‌کار حساب‌های تقلبی و دیگر منابع را با خود به اشتراک می‌گذارند و ابزارهایی را از یک‌دیگر و یا از همان فروشنده خریداری می‌کنند.
«از آنجایی که گروه URLZone پس از دیگر گروه‌های دیگر به ژاپن آمده‌اند، احتمال زیادی وجود دارد که آن‌ها قادر باشند تا با تکیه بر حساب‌های تقلبی و عوامل معتبر کلاه‌بردار به فعالیت بپردازند.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.