تروجان GozNym کاربران اروپایی را هدف قرار داده است

مجرمان سایبری که در پشت پرده‌ی تروجان بانکی GozNym‌ هستند، کاربران در کشورهای اروپایی را مورد هدف قرار داده‎اند.
GozNym بدافزاری است که کدها را از باج‌افزار Nymaim و تروجان بانکی Gozi ISFB باهم ترکیب کرده و در ماه آوریل ظهور پیدا کرده است. این بدافزار در حالی مشاهده شد که به ۲۴ مؤسسه مالی در آمریکای شمالی حمله کرده بود.
بر اساس گفته‌های محققان شرکت آی‎بی‎ام X-Force عوامل مخرب شروع به استفاده از این بدافزار برای حمله به کاربران در اروپا کرده‌اند. این تهدید، مؤسسات تجاری و سرمایه‌گذاری بانکی و مشتریان آن‎ها را در ۱۷ بانک در لهستان و یک بانک در پرتغال هدف قرار داده است. علاوه بر بانک‌ها، این تروجان به مشتریان ارائه‎دهندگان سرویس وب‌میل در لهستان نیز حمله کرده‌اند.
هنگامی که این بدافزار به یک دستگاه حمله می‌کند، فعالیت‌های اینترنتی قربانی را زیر نظر می‌گیرد و وب‏گاه‎هایی را که شخص مشاهده می‌کند با فهرستی از ۲۳۰ نشانی اینترنتی که در پرونده پیکربندی آن وجود دارد، مقایسه می‌کند. هنگامی که یکی از این وب‎گاه‎ها بازدید شود، یک حمله تغییر مسیر آغاز خواهد شد و کاربر مورد یک حمله فیشینگ قرار خواهد گرفت که صفحه‌ای را شبیه به خدمات بانکی موردنظر به او ارائه می‌کند.
چنین حملات تغییر مسیری در بدافزارهای مالی معمول است و تهدیدهای معروفی همچون Dridex و Dyre از این روش استفاده می‌کنند. با این حال، نویسندگان GozNym با یک طرح تغییر مسیر دو-مرحله‌ای حمله را انجام می‌دهند که موجب می‌شود تا محققان با سختی بیشتری به تجزیه و تحلیل حملات آن‌ها بپردازند.
در مرحله اول، هنگامی که کاربران یکی از وب‎گاه‎های هدف را مشاهده می‎کنند، آن‎ها بلافاصله به صفحه فیشینگ مربوطه هدایت می‌شوند. این صفحه که به مهاجمان اجازه می‌دهد تا اعتبارنامه‌ها و داده‌های مربوط به احراز هویت دو-مرحله‌ای را جمع‌آوری کنند، به نظر می‌رسد که بر روی یک دامنه قانونی بانکی میزبانی می‌شود و حتی یک نشانگر گواهینامه SSL نیز در نوار آدرس مرورگر نشان داده می‌شود. این کار با درخواست‌های خالی به وب‎گاه‎های قانونی بانک در تلاش برای برقرار اتصال Live SSL انجام می‌شود.
درحالی‌که در مرحله اول حمله، کاربران به صفحه آلوده هدایت شدند، محتوای این صفحه در واقع زیر یک صفحه خالی پوششی که کل صفحه را در برمی‌گیرد، قرار دارد. با مخفی کردن محتوای مخرب، مجرمان سایبری، آن را شبیه به یک صفحه خالی نمایش می‌دادند، به‌طوری‌که ممکن بود کسی بخواهد آن را بررسی کند. صفحه تغییر مسیر فیشینگ و صفحه‌نمایش پوششی تحت کنترل یک کارگزار کنترل و فرماندهی بودند که در مسکوی روسیه میزبانی می‌شد.
در مرحله دوم حمله، صفحه‌ی پوششی برداشته شده و صفحه فیشینگ به قربانی نشان داده می‌شد. این کار با استفاده از یک پرونده جاوا اسکریپت که مدل شیءگرای سند را دست‌کاری می‌کرد، انجام می‌شد.
بعد از ورود داده‌های اولیه، یک صفحه تأخیر تزریق می‌شد و از قربانی خواسته می‌شد تا صبر کند. در این بین، مهاجمان به پرس‎و‎جو با کارگزار کنترل و فرماندهی برای تزریق وب می‌پرداختند که برای فریب کاربران به ارائه اطلاعات دیگر طراحی شده بود.
مرحله دوم حمله بر اساس یک کارگزار کنترل و فرماندهی متفاوت بنا شده بود که باعث می‌شد تا تجزیه و تحلیل حمله سخت‌تر صورت بگیرد.
لیمور کسم مشاور امنیت اجرایی آی‌بی‌ام می‌گوید: «پروژه‌هایی با این سطح از فناوری، در حوزه چند باند معدود از مجرمان سایبری فعال در جهان قرار دارند. حملات تغییر مسیر قانع‌کننده تلاش‌هایی هستند که منابع زیادی را می‌طلبند و نیاز دارند که عاملان آن‎ها سرمایه‌گذاری سنگینی در ایجاد کپی وب‎گاه‎های بانک‌های مورد هدف انجام دهند. باند Nymaim به‌عنوان یکی از گروه‌های معدود با چنین قابلیتی مطرح است. در حال حاضر، تنها بدافزار مشهور دیگری که به‌صورت فعال از حملات تغییر مسیر استفاده می‌کند Dridex gang است. شایعات می‌گویند که یک باند Neverquest آن‌ها را استخدام کرده است؛ با این حال مسئله‌ی اخیر هنوز در جهان شناسایی نشده است».

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.