دربِ پشتی Ostap تروجان بانکی و بدافزار پایانه فروش نصب می‌کند

محققان پروف‌پونیت هشدار دادند، درب ِ پشتی جدیدی کشف کرده‌اند که یک تروجان بانکی شناخته‌شده و بدافزار پایانه‌ی فروش را نصب می‌کند. این دربِ پشتی با نام Ostap مبتنی بر جاوا اسکریپت بوده و با نصب‌کننده‌ی دلفی با نام MrWhite در ارتباط است.

این دربِ پشتی رایانه‌ی آلوده را از جهت داشتن بدافزار پایانه‌ی فروش مورد بررسی قرار می‌دهد و اگر بدافزاری نصب نبود، برخی از بدافزارها را بر روی رایانه بارگیری می‌کند. محققان امنیتی می‌گویند مهاجمان در این سناریوی حمله، از تروجان‌های بانکی مانند Dridex ،Ursnif و Tinba در کنار بدافزارهای پایانه‌ فروش مثل AbaddonPOS استفاده می‌کنند.

مشاهده شده که مهاجمان در این پویش، سرویس‌های مالی کشورهای آلمان، اتریش و انگلستان را هدف قرار داده‌اند. محققان پروف‌پوینت می‌گویند برای توزیع این دربِ پشتی از هرزنامه‌هایی استفاده می‌شود که به آن‌ها اسناد مخرب ورد ضمیمه شده است.
پویش مربوط به توزیع این بدافزار خیلی بزرگ هم نیست و از چند پیام که به چندهزار رایانامه توزیع شده، تشکیل شده است. پیام‌هایی که مشاهده شده بسته به اینکه قربانی در چه مکانی قرار دارد به زبان‌های آلمانی و انگلیسی نوشته شده است.

این دربِ پشتی تا زمانی‌که بر روی رایانه‌ی قربانی سند مخرب بسته شود، فعال باقی می‌ماند. برای ماندگاری بر روی رایانه‌ی قربانی نیز یک نسخه از خودش را در پوشه‌ی آغازین رونویسی کرده و نام رایانه‌ی قربانی را برای کارگزار دستور و کنترل خود ارسال می‌کند. بدافزار می‌تواند بار داده‌ی اجرایی و پرونده‌های اسکریپتی را از کارگزار دستور و کنترل دریافت کرده و اجرا نماید.

این دربِ پشتی معمولاً برای بارگیری پرونده‌های مخرب از کارگزار خود مانند تروجان‌های بانکی یا بدافزار پایانه‌ی فروش به کار می‌رود.
نصب‌کننده‌ی MrWhite نوشته‌شده به زبان دلفی برای مقایسه‌ی نام فرآیندهای در حال اجرا بر روی ماشین آلوده با فهرست هاردکدشده طراحی شده است. زمانی که فرآیند مورد نظر خود را پیدا کرد، فهرست را به کارگزار دستور و کنترل خود ارسال می‌کند و TinyLoader را در ماشین قربانی قرار می‌دهد.

هرچند تاکنون مشاهده نشده که TinyLoader برای بارگیری بار داده‌های بیشتر دستوری را دریافت کند ولی این نصب‌کننده قبلاً با بدافزار AbaddonPOS در ارتباط بوده است. اخیراً نیز بار داده‌ای مشاهده شده که با IP نصب‌کننده‌ی MrWhite ارتباط داشته است.

بدافزار AbaddonPOS بر روی ماشین قربانی به دنبال داده‌های کارت اعتباری می‌گردد و پس از کدگذاری آن‌ها را برای کارگزار دستور و کنترل ارسال می‌کند. برای کدگذاری از یک کلید XOR بهره می‌برد که برابر با آدرس IP آن است.
پروف‌پوینت می‌گوید: «مهاجمان به دنبال روش‌های جدیدی برای توزیع بدافزار و کسب درآمد هستند. در این نمونه مشاهده کردیم که مهاجمان از یک دربِ پشتی و یک بارگیری‌کننده‌ی جدید برای توزیع تروجان بانکی و بدافزار پایانه فروش شناخته‌شده استفاده کرده‌اند.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.