بدافزار بانکی GootKit به‌روزرسانی شد!

گروه تحقیقاتی IBM’s x-force گزارش داد که بدافزار بانکی GootKit به تازگی با تغییرات اساسی با نرم‌افزارهای مخرب حال حاضر، سخت‌تر قابل‌کشف بوده و به یک ماژول ضبط ویدئو سبک‌تر تبدیل شده است.

GootKit برای اولین بار در سال ۲۰۱۴ کشف شد و از آن به بعد یک جریان ثابت از به‌روزرسانی را دریافت کرده است، چیزی که مبلغ امنیت سایبر IBM Limor Kessem برای ادامه انتظار دارد، اما حتی بدون هیچ‌گونه به‌روزرسانی و با وضعیت کنونی، این بدافزار به‌اندازه کافی خطرناک است.

Kessem به‌عنوان یکی از خطرناک‌ترین بدافزار بانکی از Gootkit نام برده است که بدافزار قابل‌توجهی برای بانک‌های درجه اول فرانسه و بریتانیا است. IBM معتقد است این بدافزار توسط یک باند واحد اداره شده و مانند سایر نرم‌افزارهای مخرب اجاره‌ای نیست.

بیشترین تأثیر شگرف توسط IBM استفاده از فن‌آوری‌های مختلف ضبط ویدئو ذکر شده است. روش کار بدافزار GootKit گرفتن فیلم از دسکتاپ قربانی در حالی که از آن استفاده می‎کند و سپس ارسال این اطلاعات به کارگزار فرماندهی و کنترل خود است. پیش از این، این بدافزار داده‌ها را به MPEG ۴ که یک پرونده بزرگی بود تبدیل می‎کرد تا منتقل شوند. در حال حاضر توسعه‌دهندگان بدافزار، داده‌ها را در قالب ivf. کدگذاری می‎کنند.

این یک حرکت عجیب‌وغریب در GootKit است، زیرا پرونده‌های ivf. کاملاً یک قالب قدیمی ست. Kessem در وبلاگ خود نوشت: «این کدک و قالب در دهه ۱۹۹۰ محبوب بود چرا که برای اولین بار اجازه پخش ویدئو پرسرعت بدون استفاده از شتاب‌دهنده سخت‌افزاری را فراهم می‎نمود. وی همچنین افزود که ivf. ممکن است به این دلیل انتخاب شده باشد که نرم‌افزارهای امنیتی مدرن برای چنین قطعه‌ها و قالب‎های قدیمی، هیچ جستجویی انجام نمی‎دهند.»

IBM نگفته است با استفاده از ivf. چقدر حجم پرونده‌های ویدئویی کاهش می‌یابد.

برنامه نویسان GootKit توانایی آن را برای فرار از تشخیص با تغییر نوع پرونده و فرآیندی که در آن تزریق صورت می‎گیرد، تقویت کرده‌اند. در حال حاضر این بدافزار به SVCHOST.EXE در قالب یک پرونده DLL تزریق می‌شود. به‌طور سنتی و معمول بدافزار بانکی به فرآیند explorer.exe تزریق می‌شود.

در حالی که هر دو فرایند معمولاً توسط سامانه در همه زمان اجرا می‌شوند و هر دو قادر به تزریق هستند، شاید بارگذاری DLL GootKit از طریق یک فرایندی که به‌وسیله نمونه‎های مختلف و متعدد به‌طور همزمان اجرا می‌شود، گیج‌کننده باشد و تشخیص آن را سخت کند. Kessem گفت: «explorer.exe، در مقابل، فرایندی است که تنها به‌عنوان یک نمونه در یک‌زمان اجرا می‌شود.»

پیچیدگی نهایی و جدید، سطح ماندگاری بدافزار است. برنامه‎نویسان در حال حاضر نرم‌افزارهای مخربی را می‎نویسند که به‌عنوان یک وظیفه‎ی زمان‌بندی‌شده عمل می‎نماید و برای رجیستری پوسته نوشته و زمانی که کاربر وارد سامانه می‎شود، راه‌اندازی می‎شوند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.