تغییرات اساسی در تروجان بانکی Neverquest

۱۸۵۵برنامه اندرویدی که خود را به جای راهنمای بازی Pokemon GO جا می‌زند موجب روت دستگاه‌ها و نصب مخفیانه‌ی تبلیغ‌افزارها و برنامه‌های ناخواسته بر روی گوشی‌های هوشمند کاربران می‌شود.

این برنامه که راهنمای Pokémon Go نام دارد، توانسته به فروشگاه گوگل راه پیدا کند و در آنجا ۵۰۰ هزار بار توسط کاربران بارگیری و بر روی گوشی‌های همراه نصب‌ شده است.
تروجان بانکی Neverquest یکی از پرکارترین تروجان‌های حاضر در دنیای مجازی است که ابتدا در تابستان گذشته با استفاده از کدهای متنوع، اقدام به سوءاستفاده از رایانه کاربران می‌کرد. این تروجان اکنون با بروز تغییراتی، به روش‌های خاصی اقدام به سرقت اطلاعات کاربران از رایانه آن‌ها می‌کند. این تروجان با تزریق کد به وبگاه‌ها، اطلاعات ورود به حساب کاربران را از این وبگاه‌ها سرقت می‌کند.

محققان با بررسی تغییرات و به‌روزرسانی‌های رخ‌داده در این تروجان، متوجه تغییرات بسیار زیادی در آن شده‌اند و این تغییرات زیاد، محققان را بر آن داشت که نام این تروجان را به تروجان Neverquest۲ تغییر دهند.

تیم واکنش و مهندسی امنیتی در شرکت (Arbor Networks (ASERT طی ماه‌های گذشته با همکاری دیگر اعضای انجمن تحقیقات امنیتی، تغییرات رخ‌داده در تروجان Neverquest را رصد می‌کرده‌اند. بررسی‌های این محققان نشان می‌دهد که تیم طراحی کننده این تروجان با استفاده از نسخه جدید و به‌روز این تروجان با نام Neverquest۲، قصد انجام حملات جدیدی را دارند.

تروجان Neverquest یکی از نسخه‌های تروجان Gozi بوده است. تروجان Gozi که چند سال پیش فعالیت خود را شروع کرد، در ابتدای فعالیت، میلیون‌ها دلار از حساب‌های بانکی کاربران را به سرقت برد. علاوه بر این، گروه بدافزاری Neverquest که با نام Vawtrak نیز شناخته می‌شوند، مدت سه سال است که در فضای مجازی فعالیت می‌کنند و در ابتدا توسط کیت بهره‌برداری Neutrino EK به سامانه‌های بانکی و رایانه‌های کاربران نفوذ می‌کردند.

محققان شرکت Arbor با بررسی نمونه‌های جدید این تروجان، اعلام کردند که به زودی یک تحلیل فنی را از این تروجان منتشر خواهند کرد. بررسی‌های این محققان تا به اکنون نشان می‌دهد که طراحان تروجان Neverquest۲ تغییراتی را در این تروجان در مقایسه با نمونه‌های قبلی انجام داده‌اند. یکی از این تغییرات، افزونه‌هایی است که قادر به انتقال ۲۶۶ قاعده تزریق وب هستند که بر انواع خاصی از وبگاه‌ها اثر دارد. وبگاه‌های بانکی و مالی از نمونه وبگاه‌هایی هستند که هدف این تروجان قرار گرفته‌اند. علاوه بر این، وبگاه‌های بخش‌های دولتی، شرکت‌های خدماتی اینترنت بی‌سیم،‌ وبگاه‌های خدمات پرداختی و وبگاه‌های جمع‌آوری اطلاعات عمومی اینترنتی نیز طبق بررسی‌ها هدف این تروجان بانکی بوده‌اند. محققان تیم ASERT علاوه بر این اعلام کرده‌اند که نکته جدید و مهمی که در این تروجان مشاهده می‌شود، وجود قوانین تزریق وب است که نفوذگران با استفاده از این ویژگی می‌توانند به وبگاه‌های تجارت بیت‌کوینی حمله کنند.

تروجان Neverquest۲ همانند نمونه سابق خود قادر است به هنگام ورود کاربر به یک وبگاه مورد نفوذ این تروجان، وارد سامانه کاربر شده و اقداماتی را در آن ترتیب دهد. این تروجان پس از این اقدامات، تزریق وب را انجام می‌دهد. در این فرآیند، این تروجان اقدام به افزودن بخش‌های اضافی به وبگاه‌ها می‌کند و از این طریق اقدام به سرقت شماره‌های شناسایی کاربران و دیگر اطلاعات محرمانه می‌نماید.

در سال ۲۰۱۴، افراد زیادی به اتهام ارتباط با این تروجان و انجام یک حمله تزریق وب دستگیر شدند. این حمله منجر به سرقت ۱.۵ میلیون دلاری در وبگاه StubHub، یکی از درگاه‌های تهیه بلیت اینترنتی شد.

تروجان Neverquest۲ در تابستان سال جاری تغییراتی داشته است. شرکت امنیت فضای مجازی PhishLabs اعلام کرد که تروجان Neverquest۲ از یک الگوریتم جدید تولید دامنه به منظور تولید تعداد زیادی از نام‌های دامنه استفاده می‌کند. این نام‌های دامنه توسط نفوذگران برای ایجاد ارتباط با کارگزار دستور و فرمان‌دهی در حملات مورد استفاده قرار می‌گیرند.

یک نمونه دیگر از تغییرات مهم در این تروجان که توسط محققان تیم ASERT کشف شده است، معرفی ماژول جدید به تروجان است که قابلیت‌ها و امکانات جدیدی را به این تروجان می‌دهد. دو نمونه از این ماژول‌ها، backconnect و همچنین یک افزونه سرقت گواهی هستند که در تابستان سال جاری به این تروجان افزوده شده‌اند.

ماژول (backconnect (bc_۳۲.dll به نفوذگران امکان دستیابی از راه دور به یک سامانه آلوده را می‌دهد. این پیمانه دارای یک کارگزار VNC۱ است که روی میزبان‌های آلوده نصب می‌شود. یکی از محققان تیم ASERT در این خصوص اعلام کرد: «نفوذگران با استفاده از رایانه‌های آلوده می‌توانند به رایانه کاربران به راحتی وارد شده و صفحه دسکتاپ کاربر را مشاهده کنند و علاوه بر این، به دوربین و همچنین سابقه مرورگرها دسترسی داشته باشند. این نفوذگران علاوه بر این، دسترسی کامل به رایانه کاربر را دارند و می‌توانند با اجرای فرمانهای CMD دلخواه و همچنین دسترسی به بخش Task Manager، اقدامات مخرب خود را انجام دهند.»

بخش دوم (dg_۳۲.dll) که طی تابستان سال جاری به این تروجان افزوده شده است، یک بخش سرقت اطلاعات است که به جستجو و سرقت گواهی‌های ثبت‌شده در یک رایانه آلوده می‌پردازد. این افزونه طبق بررسی‌های تیم ASERT به این صورت عمل می‌کند: «این افزونه با استفاده از بخش ()CertOpenSystemStore و واسط‌های برنامه‌نویسی رمزنگاری‌کننده، به بخش ذخیره گواهی دسترسی پیدا می‌کنند. این بخش با کلیدهای خصوصی و مراجع صدور گواهی‌های دیجیتال در ارتباط است. این تروجان پس از این اقدام،‌ سامانه را به منظور شناسایی حساب‌های مرورگر، کوکی‌ها و رکوردهای حافظه نهان مرورگرها مورد پویش و جستجو قرار می‌دهد.»

تیم ASERT در ادامه گزارش‌های خود عنوان کرد که نسخه جدید تروجان Neverquest۲ علاوه بر این ویژگی‌ها، قادر است با دسترسی از راه دور به یک رایانه آلوده، یک تروجان دیگر با نام Pony را که به نام Fareit نیز شناخته می‌شود، در این رایانه فعال کند.

اگرچه محققان تغییرات بسیاری را در مقایسه با تروجان‌های Neverquest و Neverquest۲ مشاهده می‌کنند، اما به عقیده آن‌ها، هدف اصلی این دو تروجان یکسان است. این تروجان‌ها با تغییر در صفحات وب مورد استفاده توسط کاربران، سعی در سرقت اطلاعات ورود به حساب و یا دیگر اطلاعات محرمانه کاربران دارند.

محققان تیم ASERT در این خصوص معتقدند: «نمونه جدید این تروجان، یک بستر بدافزاری حرفه‌ای است که دارای بخش‌های مختلف است و نفوذگران با روش‌های خاصی اقدام به نوشتن و طراحی آن کرده‌اند. تروجان Neverquest۲ در مقایسه با نمونه‌های ابتدایی تروجان Neverquest که در سال ۲۰۱۵ مشاهده شدند، توانایی‌های بسیار زیادی ندارد، اما برخی تغییرات اساسی مانند مکانیسم‌های DGA۲ در این نمونه جدید مشاهده می‌شود. این مکانیسم که برای خصوصی‌سازی کارگزارهای دستور و کنترل این تروجان مورد استفاده قرار می‌گیرد،‌ نشان می‌دهد که طراحان این تروجان هنوز هم در حال توسعه و گسترش این تروجان بانکی و مخرب هستند.»

۱. Virtual Network Computing
۲. Domain Generation Algorithmکسپرسکی اعلام کرده است که از طریق اندازه‌گیری داده‌های راه دور که توسط تولیدات امنیتی خود دریافت کرده، دریافته است که حداقل ۶ هزار کاربر گوشی‌های خود را روت کرده و تحت کنترل بدافزار بوده‌اند.

این تروجان در گذشته هم به فروشگاه گوگل آسیب‌زده است.

تحقیقات بیشتر نشان دادند که نسخه‌ی دیگری از این برنامه در ماه جولای در فروشگاه گوگل بارگذاری شده بوده اما بعداً حذف ‌شده است. تروجانی مشابه با تروجان موجود در راهنمای Pokemon GO در ۹ برنامه دیگر نیز پیدا شده که چندین بار تحت نام‌های مختلف در فروشگاه گوگل بارگذاری شده است.

کلاه‌بردار ناشناس، آشکارا به دنبال موج‌های مردمی است و بد‌افزار خود را به‌صورت برنامه‌های جانبی در هر برنامه یا بازی که در دوره‌ی خاصی محبوبیت دارد، قرار می‌دهد.

کسپرسکی می‌گوید که ۹ برنامه‌ی دیگر بیش از ۱۰ هزار بار نصب نشده‌اند اما یکی از برنامه‌ها توانسته است ۱۰۰ هزار مرتبه بارگیری شود.

این تروجان کار یک برنامه‌نویس باتجربه است.

طبق تحلیل تخصصی این تروجان که کسپرسکی آن‌ را ‌با نام عمومی HEUR:Trojan.AndroidOS.Ztorg.ad کشف کرده است؛ بدافزار اندرویدی مذکور بسیار پیشرفته است و چندین لایه‌ی محافظتی دارد که مهندسی معکوس را بسیار سخت می‌کند. محققان بیان می‌کنند که این برنامه از بسته‌ای تجاری استفاده می‌کند. بسته‌ی تجاری برای نامنظم‌سازی و مخفی کردن کد طراحی‌ شده تا از تحلیل محققان امنیتی جلوگیری شود. به‌علاوه، این تروجان پس از آلوده کردن یک دستگاه، بلافاصله سازندگان خود پینگ نمی‌کند. بد‌افزار منتظر می‌ماند تا کاربر فعالیت‌هایی نظیر نصب یا حذف نرم‌افزار دیگری را انجام دهد؛ بدین‌صورت، تروجان متوجه می‌شود که بر روی ماشین مجازی و یا شبیه‌ساز در حال اجرا نیست. این تروجان می‌تواند رفتار خرابکارانه‌ی خود را تنها درصورتی‌که مطمئن باشد دستگاه یک انسان واقعی را آلوده کرده است، نشان دهد.

یکی از حیله‌گرترین تروجان‌های تاریخ

اما حیله‌گری این تروجان تمام‌شدنی نیست. تروجان به مدت دو ساعت پس از درک واقعی بودن دستگاه، صبر می‌کند و پس‌ از آن با کارگزار کنترل و فرمان‌دهی ارتباط برقرار می‌کند. هنگامی‌که این اتفاق رخ داد، تروجان جزئیات دستگاه را برای ثبت قربانی جدید ارسال می‌کند و سپس منتظر فرمان می‌ماند. تروجان تا زمانی که کارگزار دو بار برای درخواست هر دستورالعمل، پاسخ ندهد عملی انجام نمی‌دهد. این مورد نیز، شیوه‌ای ضد تحلیل است تا محققان امنیتی را فریب دهد.

زمانی که کلاه‌بردار هدایت‌کننده کارگزار کنترل و فرمان تصمیم به اجرای عملیات می‌گیرد، یک پرونده‌ی JSON را با چندین پیوند ارسال می‌کند. تروجان مذکور با پیگیری این پیوند‌ها، چندین پرونده را بر روی دستگاه آلوده بارگیری می‌کند.

تروجان بهره‌برداری‌ها را بارگیری و دستگاه را روت می‌کند!

این پرونده‌ها شامل چندین بهره‌بردار اندروید هستند که قادر به روت دستگاه بوده و به مهاجم دسترسی سطح-سامانه گوشی هوشمند را می‌دهند. این بهره‌بردار‌ها از آسیب‌پذیر‌های متعددی که بین سال‌های ۲۰۱۲ و ۲۰۱۵ برای روت دستگاه کشف شدند، استفاده می‌‌کنند. از جمله بهره‌برداری که در داده‌های انتشار یافته HackingTeam بوده است.

رومان اونوچک ، تحلیلگر ارشد بد‌افزار و از محققان آزمایشگاه کسپرسکی، می‌گوید: «قربانیان این تروجان ممکن است حداقل در ابتدا، متوجه افزایش تبلیغ‌افزارها نشوند اما در طولانی‌مدت، پیامد‌های آلودگی ممکن است بسیار بدتر باشند. اگرچه این برنامه اکنون از فروشگاه حذف ‌شده است اما نزدیک به نیم میلیون نفر، مستعد به آلودگی هستند و امیدواریم که این اعلان، هشدار لازم را برای انجام اقدامات مورد نظر به آن‌ها بدهد.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.