حمله بدافزار بانکی BlackMoon به بیش از ۱۶۰ هزار نفر در کره جنوبی

محققان شرکت Fortinet به تازگی پرده از سرقت بیش از صد هزار اطلاعات ورود به حساب‌های بانکی در کره جنوبی توسط یک گروه جاسوسی برداشتند. محققان در تحقیقات خود اعلام کردند که این سرقت با استفاده از یک بدافزار بانکی با نام BlackMoon انجام شده است. نام رسمی این بدافزار در تحقیقات W۳۲/Banbra عنوان شده است.

شرکت Fortinet ابتدا در آوریل در مورد این سرقت اطلاعاتی را به دست آورد. محققان این شرکت سپس توانستند یکی از پوشه‌های دارای قابلیت دسترسی آزاد مربوط به یکی از کارگزارهای دستور و کنترل BlackMoon را کشف کنند.

محققان حوزه امنیت این شرکت سپس با بررسی بیشتر این پوشه، بخش ثبت وقایع و اطلاعات موجود در آن را مورد مشاهده قرار دادند و به جزئیاتی در مورد کاربران مورد حمله این بدافزار دست یافتند. اطلاعات موجود نشان می‌داد که تعداد کاربران مورد حمله این بدافزار در سراسر جهان ۱۱۰ هزار و ۱۳۰ نفر بوده است که از این میان ۱۰۸ هزار و ۸۵۰ نفر در کره جنوبی بوده‌اند و با توجه به تنوع موجود در کارگزارهای دستور و کنترل این بدافزار، افزایش این میزان دور از انتظار نیست.

پس از این اتفاقات، شرکت Fortinet با نظارت بیشتر بر نحوه کار کارگزارهای دستور این بدافزار و جمع‌آوری اطلاعات بیشتر در مورد نحوه عملکرد جاسوسان طراحی کننده آن، تحقیقات خود را ادامه داد. این شرکت اعلام کرد که از ۱۰ می تا ۱۹ ژوئیه امسال، طراحان این بدافزار ۶۲ هزار و ۶۵۹ کاربر دیگر را مورد سوءاستفاده قرار داده‌اند که از این میان، ۶۱ هزار و ۲۵۵ نفر از کره جنوبی بوده‌اند.

بررسی بیشتر و جزئی‌تر پرونده‌های پیداشده در کارگزار دستور و کنترل کشف‌شده این بدافزار نشان می‌دهد که گروه تبهکار طراح این بدافزار پرونده‌های اصلی پیکربندی آن را مورد استفاده قرار داده و به ۶۱ شرکت مالی در کره جنوبی حمله کرده است.

BlackMoon یک بدافزار بانکداری است که در سال ۲۰۱۴ کشف شد. این بدافزار از پرونده‌های پیکربندی خودکار پراکسی برای استفاده غیرقانونی از حجم اینترنت کاربران و همچنین سوءاستفاده از نشانی‌های اینترنتی موجود در پرونده پیکربندی استفاده می‌کند. پس از این مراحل، کاربر به جای یک صفحه اصلی و امن بانکی، به یک صفحه فیشینگ هدایت می‌شود و در این صفحه جاسوسان اقدام به ثبت اطلاعات ورود به حساب بانکی کاربر می‌کنند.

شرکت Fortinet در دوره‌ای که به طور جدی در حال بررسی کارگزار دستور و کنترل کشف شده بود، اعلام کرد که بدافزار BlackMoon ۲۷۰۵ نمونه متفاوت دارد و به نشانی IP ۱۸ هزار و ۹۶۹ کاربر دسترسی دارد. این شرکت در ادامه این آمار اعلام کرد که این بدافزار همچنین به نشانی MAC ۲۰ هزار و ۹۴۸ کاربر دیگر نیز دسترسی دارد و با استفاده از ۳۴۱ کارگزار دستور و کنترل از ۲۶ شرکت میزبانی وب در حال فعالیت است که دوازده شرکت از این میان در آمریکا بوده و یازده شرکت در چین و چهار شرکت نیز در هنگ‌کنگ واقع هستند.

بنا به یافته‌های این شرکت، نام پرونده‌های کارگزار دستور کنترل و توضیحات کد منبع به زبان چینی نوشته شده‌اند. این مسئله می‌تواند سرنخ مهمی برای دستیابی به منبع اصلی این اتفاقات باشد. رونالد دلا پاز یکی از کارمندان شرکت Fortinet در این خصوص عنوان کرد: «محققان شرکت ما تاکنون موفق به شناسایی مشخصات تمامی کاربران مورد حمله این بدافزار واقع نشده‌اند و این در حالی است که تعداد بالای نشانی‌های IP و MAC به‌دست‌آمده در تحقیقات حاکی از این است که این بدافزار توانسته است حداقل ده‌ها هزار کاربر را مورد حمله خود قرار دهد. علاوه بر این، طراحی روزانه نمونه‌های جدید از این بدافزار و همچنین کارگزارهای آن نشان‌دهنده فعالیت بالای آن است و به همین دلیل باید توجه ویژه‌ای در خصوص احتمال حملات آتی این بدافزار به کاربران کره جنوبی داشت.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

[easy-pricing-table id="6835"]