تروجان بانکی Dreambot قابلیت‌های Tor را اضافه می‌کند!

محققان شرکت Proofpoint نوع جدیدی از تروجان Gonzi یا به عبارت دیگر Ursnif را کشف کرده‌اند که به نام تروجان بانکی Dreambot نام‌گذاری شده است و برخی از گونه‌های آن شامل قابلیت‌های اتصال تور و عملکرد نظیر به نظیر (P۲P) هستند.

بنا بر مطالب گفته‌شده در پست وبگاه این شرکت، تروجان Dreambot هنوز یک بدافزار فعال است و به‌وسیله‌ی کیت‌های بهره‌بردار متعدد و از طریق ضمیمه‌های رایانامه و پیوندهای مخرب گسترش می‌یابد.

در این پست گفته شده است که محققان باور دارند که نسخه‌های این تروجان که قابلیت‌های شبکه Tor را دارند، دست‌کم از جولای ۲۰۱۶ فعال بوده‌اند و با وجود داشتن این عملکرد، گونه‌های کمی از آن برای اتصالات اصلی از این اتصال برای ارتباط با زیرساخت‌های کنترل و فرمان (C&C) خود استفاده کرده‌اند. شایان ذکر است که این ویژگی ممکن است در آینده بیشتر مورد استفاده قرار گیرد و اگر چنین باشد مشکلات بیشتری را برای مدافعان سامانه‌های امنیتی ایجاد می‌کند.

مدیر تهدیدات اضطراری شرکت Proofpoint شرود دی‌گریو می‌گوید که به دلیل ماهیت وبگاه‌های Onion از کار انداختن کارگزارهای کنترل و فرمان Tor بسیار مشکل است.

دی گریپو از طریق رایانامه به SCMagazine گفته است: «علاوه بر آن به دلیل اتصالات رمزنگاری شده‌ی پروتکل‌های شبکه Tor، برای محققان بسیار مشکل خواهد بود تا ترافیک و رفتار شبکه را مشاهده و بررسی کنند».

همچنین محققان متوجه یک نسخه از این بدافزار شده‌اند که به نظر می‌رسد از پروتکل نظیر به نظیر برای ارتباط خود استفاده می‌کند.

در این پست نوشته شده است: «این پروتکل روی TCP و UDP عمل می‌کند و از قالب بسته‌های سفارشی استفاده می‌کند. به دلیل اضافه کردن این قابلیت، سطح کد خدمات گیرنده دو برابر بزرگ‌تر از نسخه‌ی Tor است».

محققان هنوز در حال بررسی این قابلیت هستند و جزئیات بیشتری را درباره آن ارائه نکرده‌اند.

دی گریپو می‌گوید که به‌روزرسانی‌های اخیر موجب شده است که هنگامی‌که کاربری آلوده می‌شود کشف و تشخیص این بدافزار بسیار مشکل باشد.

او گفته است: «اقدامات حفاظتی که باید برای اطمینان از امن بودن دستگاه‌ها به عمل آید شامل این موارد است: همه‌ی نرم‌افزارها به روز باشند، از بررسی رایانامه‌ها برای وجود ضمیمه‌های آلوده و پیوندهای مخرب اطمینان به عمل آید و ترافیک شبکه نظارت و بررسی شود تا مشخص گردد که کدام‌یک از دستگاه‌ها ترافیک‌ها را از این نوع ایجاد می‌کنند».

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.