تروجان بانکی Blackmoon همچنان به حملات خود علیه کره‌‌ی جنوبی ادامه می‌دهد

مهاجمان سایبری همچنان به توزیع تروجان بانکی Blackmoon در سامانه‌های افراد در کره‌ی جنوبی ادامه می‌دهند. این بدافزار در حال حاضر با استفاده از چارچوب جدیدی توزیع می‌شود که قادر است سامانه‌های تشخیص بدافزار را دور بزند. این بدافزار حداقل از سال ۲۰۱۴ میلادی فعال بوده و هدف اصلی آن سرقت اطلاعات کارت‌های بانکی قربانیان در کره‌ی جنوبی است. محققان امنیتی یک سال قبل اعلام کردند این بدافزار توانسته است در این کشور، سامانه‌ی بیش از ۱۰۰ هزار کاربر را آلوده کند.

محققان امنیتی روز پنج‌شنبه اعلام کردند از اواخر سال ۲۰۱۶ میلادی دو پویش جداگانه از بدافزار Blackmoon را مشاهده کرده‌اند. در این پویش‌ها از چارچوب دیگری برای توزیع این تروجان بانکی استفاده می‌شود که محققان آن را چارچوب بارگیری‌کننده‌ی Blackmoon نامیده‌اند. این چارچوب برای بارگیری مؤلفه‌های بدافزار در ۳ مرحله طراحی شده است. همچنین این چارچوب اطمینان حاصل می‌کند تا بدافزار حتماً بر روی سامانه‌ی یک فرد در کره‌ی جنوبی نصب شود.

کارشناسان معتقدند حمله با استفاده از یک بارگیری‌کننده با اندازه‌ی ۱۰ کیلوبایت آغاز می‌شود. این بارگیری‌کننده می‌تواند بر روی ماشین قربانی به اجرای هر کدی بپردازد و یک دربِ پشتی را بر روی آن نصب کند ولی هدف اصلی این بارگیری‌کننده، نصب و اجرای یک بارگیری‌کننده‌ی بایت‌کد است. در مرحله‌ی دوم، بارگیری‌کننده‌ی بایت‌کد، یک پرونده‌ی PE را که به یک پرونده‌ی بی‌خطر JPG تبدیل شده واکشی می‌کند. این پرونده‌ی تصویری KRDownloader نامگذاری شده است و مسئولیت آن بارگیری بار داده‌ی نهایی و اصلیِ بدافزار Blackmoon است. این پرونده‌ی تصویری همچنین اطمینان حاصل می‌کند که زبان در سامانه‌ی قربانی کره‌ای باشد و در غیر این صورت، به عملیات خود خاتمه می‌دهد.

همان‌طور که متوجه شدیم این بدافزار از مؤلفه‌های مختلفی تشکیل شده و در چند مرحله، بدافزار بر روی سامانه‌ی قربانی نصب می‌شود و همین چند مؤلفه‌ای بودن و نصب در چند مرحله، فرآیند تشخیص بدافزار توسط سامانه‌های امنیتی را دور می‌زند. این بدافزار دارای فهرستی از وب‌گاه بانک‌ها است که در نظر دارد آن‌ها را هدف قرار دهد. زمانی که قربانی به یکی از این بانک‌ها و وب‌گاه‌ آن‌ها دسترسی پیدا می‌کند، به سمت یک وب‌گاه جعلی هدایت شده و از او اطلاعات مربوط به کارت بانکی درخواست می‌شود. محققان اعلام کرده بودند این گروه نفوذ قبلاً با استفاده از تبلیغ‌افزار و کیت‌های بهره‌برداری به توزیع تروجان بانکی Blackmoon می‌پرداختند.

منبع: asis

درباره نماد امنیت وب

کانال اخبار فناوری اطلاعات نماد امن

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.