بدافزار بانکی در برزیل به یک سرویس سرقت آسان تبدیل شده است!

به‌عنوان یک مرکز شناخته‌شده بدافزار بانکی، تعجب‌آور نیست که مجریان سایبری برزیل اقدام به راه‌اندازی چیزی می‌کنند که می‌تواند به‌عنوان یک سرویس بدافزار بانکی در نظر گرفته شود. در این حالت خاص یک مجرم ماهر سایبری شروع به ارائه یک بدافزار بانکی کاربردی و زیرساخت‌های مرتبط با آن برای استفاده کلاه‌بردارانی که مهارت کمتری دارند می‌کند.
این تهدید خاص به دلیل آگهی آن توجه را جلب می‎کند که دارای ویدیوهای نمایشی بر روی یوتیوب است. خالق آن «ریک» است که سرویس‌های این بدافزار بانکی را به اجاره می‌دهد که حدود ۶۰۰ دلار آمریکا برای یک دوره ده روزه است. این سرویس شامل یک کنسول جامع، بسیار توانا و با طراحی خوب است و همین‌طور قادر به دور زدن مراحل احراز هویت اضافی است که در بانک‌های برزیل استفاده می‌شود.

تبلیغات
تبهکاران سایبری برزیلی برای خدمات تبلیغاتی اینترنتی شناخته‌شده‌اند و ریک هیچ تفاوتی با آن‌ها ندارد. او یک حساب یوتیوب را برای نشان دادن محصولاتش استفاده می‌کند. در توضیح این کانال در یوتیوب آمده است:‌ «بدافزار بانکی برای اجاره یا فروش کد منبع، بیش از ۹ بانک را تحت پوشش دارد. نسخه ۲۰۱۶.»
سه فیلم بارگذاری شده جنبه‌های مختلف بدافزار بانکی را نشان می‌دهد. این فیلم‌ها جمعاً ۱۰۰۰ بار دیده شده است. هرکدام از توضیحات فیلم شامل پیوندی است که به صفحه‌ای با روش‌های پرداخت متصل است. ریک همچنین نام کاربری اسکایپ خود را منتشر کرده ‌است به‌طوری‌که مشتریان علاقه‌مند بتوانند با او مذاکره کنند. اعتقاد بر این است که ریک برای خود کار می‌کند و قسمتی از یک سندیکای بزرگ‌تر نیست.

ریک همچنین تغییراتی را در بدافزار فراهم می‌کند به‌طوری‌که مشتریان از هر تغییر یا بهبودی که در زمینه نرم‌افزارهای مخرب صورت می‌گیرد اطلاع یابند.(این بدافزار خاص با این عنوان شناخته شد BKDR-MANGIT.SM)
بزرگ‌ترین بانک برزیل در لیست بانک‌های هدف بوده و وبگاه پرداخت اینترنتی مثل PayPal و Mercado Livre که محل مزایده محلی است هم در این لیست می‌باشند. سایر وبگاه‌ها مثل آن‌هایی که جزء ISP ها و سرویس‌های ارائه‌دهنده رایانامه می‌باشند نیز در این فهرست وجود دارند.
بسته کامل به ۲۰۰۰ واحد پول برزیل فروخته می‌شود (کمتر از ۶۰۰ دلار آمریکا) که برای یک دوره ده روزه اعتبار دارد. این برای تشکیلات زیرزمینی و غیرقانونی در برزیل نسبتاً گران است. بسته شامل موارد زیر است:
• یک کنترل پنل برای مدیریت/ کار با دستگاه آسیب‌دیده
• یک بدافزار بانکی واقعی
• یک بارگذارنده / رها کننده/ آلوده‌کننده
• یک برنامه به‌روزرسانی خودکار برای دستگاه‌های آلوده
• تمامی زیرساخت‌های موردنیاز برای انجام موفقیت‌آمیز تهاجم
برای کاربرانی که کنترل کامل بر حملات خود را می‌خواهند و برای اینکه بتوانند زیر ساختهای خاص خود را ارائه کنند، کد منبع برای ۳۰۰۰۰ واحد در دسترس است، حدود ۸۸۰۰ دلار آمریکا.

حمله چگونه کار می‌کند؟
اگر کسی خواستار خریداری این سرویس باشد پیوندی را به پورتال مدیریت همراه با اعتبارنامه در طول مدت اجاره دریافت می‌کند. او به مجموعه‌ای از سرویس‌های پویای DNS نیاز دارد تا قربانیان خود را به زیرساخت‌های ارائه‌شده متوجه کند. او همچنین مسئول گرفتن کاربران برای بازدید از URL های مخرب است. فیشینگ هنوز هم روش ارجح است.

امروزه بانک‌های برزیلی حساب‌های بسیاری را با نوعی از احراز هویت دوعاملی حفاظت می‌کنند. یک کد از طریق پیام کوتاه یا برنامه‌های تأییدکننده به دست می‌آیند که از محبوب‌ترین راه‌های احراز هویت دوعاملی هستند. برای رفع این حفاظت، ریک به خود پروتکل احراز هویت حمله نمی‌کند بلکه به‌جای آن با استفاده از دسترسی از راه دور آن را دور می‌زند. همان‌طور که در زیر آمده است:
۱. هنگامی‌که بدافزار بر روی دستگاه قربانی نصب شد، مهاجم کاملاً بر آن کنترل دارد.
۲. هنگامی‌که قربانی به وبگاه بانک دسترسی دارد، مهاجم هشداری را دریافت می‌کند (این هشدار می‌تواند حتی از طریق پیامک ارسال شود.)
۳. مهاجم سپس شروع به تماشای صفحه‌نمایش قربانی کرده و منتظر می‌شود تا او به حساب بانکی‌اش وارد شود.
۴. بعد از آن مهاجم صفحه‌نمایش قربانی را قفل می‌کند. پیامی طراحی می‌شود تا او فکر کند که وبگاه بانک از او می‌خواهد که منتظر بماند.
۵. مهاجم کنترل دستگاه قربانی را به دست گرفته و شروع به انتقال وجه یا پرداخت صورت‌حساب می‌کند.
۶. هنگامی‌که وبگاه بانک از اپراتور برای رمز می‌پرسد اپراتور صفحه‌نمایش قربانی را باز کرده و درخواست جعلی رمز می‌کند که به نظر برسد او برای ادامه، نیاز به وارد کردن رمز دارد.
۷. با در اختیار داشتن این رمز مهاجم پس از این می‌تواند به تکمیل معامله مخرب خود بپردازد.

ممکن است برخی تفاوت‎ها برای حساب‌ها در مورد بانک‌های مختلف وجود داشته باشد اما اصل حمله تغییری نمی‌کند.
بدافزارهای بانکی فعلی در برزیل کمتر سارقین اطلاعات هستند و بیشتر به ابزار مدیریت از راه دور برای استفاده مخرب تبدیل‌ شده‎اند.
در زیر تصویری از کنترل پنل آمده است:
۲_۵۰
در تصویر، ریک یک دستگاه قربانی را کنترل می‌کند و می‌تواند از قربانی درخواست کند اطلاعاتی مثل کد امنیتی‌شان، رمز، تاریخ تولد، شماره تلفن همراه را وارد کند. نرم‌افزار کاملاً برجسته است و رفتاری بسیار شبیه به یک ابزار حرفه‌ای خواهد داشت.
این توانایی برای انجام معاملات از طریق دستگاه قربانی از راه دور، تشخیص کلاه‌برداری را سخت‌تر می‌کند. بدون بررسی عمیق، به نظر خواهد رسید که هر معامله‌ای از رایانه کاربر انجام شده است.(و بنابراین توسط مشتری واقعی بوده است). روش‌های تشخیص کلاه‌برداری باید متکی بر سایر فن‌ها باشد.

ریک چه کسی است؟
در واقع ما چیز زیادی درباره ریک نمی‌دانیم، او کسی است که این حمله و تهدید را ایجاد کرد. چیزی که ما می‌دانیم این است که کار او از کیفیت فراوانی برخوردار است. همه‌چیز از ابتدا کد شده و گاهی اوقات بسته‌هایی برای حفاظت از آن‌ها استفاده می‌شود. بعضی نمونه‌ها نیز با گواهی‌نامه‌های خاص خود امضا شده‌اند که سعی در دور زدن نرم‌افزارهای امنیتی دارند.
ریک حداقل سه نام مستعار دیگر دارد و احتمالاً در منطقه شمال برزیل است. این بخش از کشور به کانون فعالیت‌های مجرمانه سایبری معروف است. سال گذشته در مورد مجرمان سایبری جوان دیگری در این ناحیه بحث شده ‌بود. اعضای باندهای جرائم اینترنتی در این منطقه بازداشت شده‌اند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap