مروری بر تروجان‌های بانکی

تروجان‌های بانکی در سال‌‌‌های اخیر بسیار شایع شده و هزاران کاربر را در سرتاسر دنیا آلوده کرده‌اند. این تروجان‌ها هم‌چنین به مجرمان اینترنتی کمک می‌کنند تا بتوانند اطلاعات ورود به حساب‌‌های بانکی را به دست آورند. اما برای این‌کار، این مجرمان معمولاً به کمک دسته‌ای از بارگیری‌کننده‌های تروجان مانند پرونده‌های تزریق در وب و مانند آن نیاز دارند.
در این مقاله، به ۴ مورد از مثال‌‌های مهم در این زمینه می‌پردازیم.

Waski
Waski از نگاه فنی یک تروجان بانکی نیست، بلکه یک برنامه‌ی مخرب بوده که به بارگیری‌ تروجان روی رایانه‌ی قربانی کمک می‌کند. این بدافزار در کشور‌های انگلیسی زبان، مانند آمریکا، کانادا، انگلیس، استرالیا، نیوزیلند و ایرلند رایج‌تر بوده اما در کشورهای دیگر هم‌چون آلمان ،اتریش، سوئیس و ایتالیا نیز دیده شده‌ است.
این بدافزار اولین‌بار توسط ESET در اواخر سال ۲۰۱۳ کشف شد و نام Waski را به خود گرفت. زمانی که این بدافزار اجرا می‌شود، یک تروجان بانکی از جمله Dyre (یا win۳۲/Battdil) را روی رایانه‌ی قربانی بارگیری‌ می‌کند.
روش آن در ورود به رایانه قربانی در وهله‌ی اول شامل مهندسی اجتماعی و فیشینگ می‌شود. بارگیری‌‌کننده ظاهر خود را مثلاً به عنوان یک پرونده‌ی PDF با استفاده از آیکون Adobe تغییر می‌دهد. البته پسوند این پرونده‌ فاش می‌کند که یک پرونده‌ی اجرایی (EXE) است.
زمانی که اجرا می‌شود، Waski آدرس آی‌پی رایانه‌ی آلوده را بررسی کرده و سپس یک شناسه‌ی منحصر به فرد به کارگزار کنترل و فرمان‌دهی نفوذگر ارسال می‌کند.
در یک رایانه‌ی آلوده، سپس می‌تواند از طریق مرورگرهای موجود مانند گوگل کروم، موزیلا فایرفاکس و اینترنت اکسپلورر، در زمان دسترسی به تعدادی از وب‌‌گاه‌های موسسات مالی، اطلاعات ورود به تعداد زیادی از آن‌ها را استراق سمع کند.
این امر موجب شده‌ است،Waski‌ابزاری کارآمد برای نفوذگر‌‌ها در جهت سرقت منابع مالی باشد.

Webinjectهای قابل تنظیم، مشتریان بانک‌ها را فریب می‌دهند
مدت زمان زیادی است که بسته‌‌های تنظیم تزریق در وب، در ترکیب با تروجان‌های بانکی استفاده می‌شوند تا صفحات مورد نظر قربانیان را با صفحات جعلی جایگزین کنند. به کلامی‌ دیگر، این ابزارها سعی می‌کنند کاربر را متقاعد کنند آن‌چه را می‌بیند قانونی و واقعی است، حال آن‌که این‌طور نیست.
تروجان یادشده می‌تواند کدی را معمولاً به زبان جاوااسکریپت، در مرورگر تزریق کند تا این کد با محتوای وب‌گاه وارد تعامل شده و کارهای مختلفی را انجام دهد. معمولاً تروجان‌های بانکی نوعی از پرونده‌ی‌ تنظیمات تزریق در وب را بارگیری‌ می‌کنند که شامل هدف و هم‌چنین محتوایی است که باید به صفحه‌ی هدف تزریق شود.
در کنفرانس امنیتی که سال گذشته در سیاتل برگزار شده‌ بود، متخصص بدافزار شرکت ESET، جین بوتین، گفته‌ بود پس از مطالعه‌ی بسته‌های تزریق وب متوجه شده ‌است این رویه به سوی جرم سایبری در قالب سرویس (cybercrime-as-a-service) در حال پیش‌روی است.
او در ادامه گفته ‌است: «من چندین سال است که تروجان‌های بانکی را مطالعه می‌کنم و در این مدت تعداد زیادی تزریق‌‌های وب را بررسی کرده‌ام. از مدتی قبل، ما متوجه الگوی مشابهی در تزریق‌های وب مختلف در تروجان‌های بانکی متفاوت شده‌ایم. در ادامه متوجه شدیم که کد و پنل‌های مدیریتی این بدافزارها در حال استفاده و فروش گسترده در انجمن‌های قانونی است.»

بدافزار CPL به نفوذگر امکان می‌دهد جلسات بانک‌داری اینترنتی را رصد کنند
برزیل یکی از کشورهای پرجمعیت در دنیا است که اقتصاد رو به رشدی را با سرعت زیاد تجربه می‌کند. این کشور هم‌چنین یکی از کشورهایی است که بیش‌ترین میزان استفاده کاربران را از بانک‌داری برخط دارد. متأسفانه این امر موجب شده‌ است این کشور به یکی از اهداف مهم مجرمان اینترنتی با تروجان‌های بانکی مبدل شود.
بدافزار CPL به طور گسترده در این کشور دیده شده ‌است. این بدافزار کاربران را فریب می‌دهد تا تروجان‌های بانکی را در سامانه‌‌های آلوده‌شان بارگیری‌ و نصب کنند.
بنا به توصیف تحلیل‌گران ESET این بدافزار، جایی بین تروجان‌های بانکی و رایانامه‌های مخرب قرار می‌گیرد، که به ترکیبی از مهندسی اجتماعی و رایانامه‌های فیشینگ اشاره دارد.
زمانی که کاربر فرآیند بارگیری‌ را آغاز می‌کند، این بدافزار در پرونده‌ی‌های ZIP جاسازی شده و روی ماشین قربانی بارگیری‌ می‌شود.اما به جای چیزی که کاربر گمان می‌کند آن را بارگیری‌ کرده ‌است، سامانه‌‌ شروع به اجرای CPL می‌کند.اینجاست که مجرم سایبری می‌تواند دسترسی‌‌های قربانی را به وب‌گاه‌های بانکی رصد کرده، آن‌ها را به وب‌‌گاه‌‌های جعلی هدایت کرده و یا جلسات بانک‌داری اینترنتی را سرقت کند. بدین ترتیب آن‌ها می‌توانند اطلاعات حساب بانکی را به دست آورند.

خانواده‌ی بدافزار Buhtrap
در ماه آوریل، متخصصان امنیتی شرکت ESET، خانواده‌ی بدافزارBuhtrap ‌ را کشف کردند. این خانواده کمپینی بود که در آن مجرمان اینترنتی به جاسوسی از کاربران ویندوز روسی پرداخته و اطلاعات حساس از جمله اطلاعات کارت‌های هوشمند آنان را می‌دزدیدند.
در این روش، نفوذگرها، هرزنامه‌‌هایی را برای اهداف خود می فرستادند که در ظاهر از سوی شرکت MEgaFon– یک اپراتور تلفن همراه بزرگ روسی– بوده‌اند تا کاربران را مجاب کنند پرونده‌ی‌های مخرب الصاق شده در رایانامه‌ را باز کنند.
ابزارهای موجود در این خانواده که مجموعه از سایر بدافزارها مانند بارگیری‌‌کننده‌ی‌ تروجان NSIS است، روی رایانه‌ی قربانی به نفوذگرها امکان می‌دهد کنترل‌ رایانه را از راه دور به دست گرفته و اعمال کاربر را ثبت و ضبط کنند. این بدافزار هم‌چنین به مجرمان اجازه می‌دهد یک در پشتی را نصب کنند، که تلاش می‌کند کلمه‌ی ‌عبور حساب کاربری را به دست‌ آورده و یا حتی حساب کاربری جدیدی بسازد. به علاوه، یک کی‌لاگر و یک ماژول کارت هوشمند نصب می‌کند که توانایی بارگیری‌ و نصب بدافزارهای دیگر را دارد.

تروجان‌های بانکی: بسیار زیاد و خطرناک
همه‌ی مثال‌های یاد شده، تنوع تروجان‌های بانکی را نشان می‌دهد که مجرمان اینترنتی از آن‌ها استفاده می‌کنند. این موارد هم‌چنین نشان می‌دهد چقدر بازار «جرم سایبری به عنوان سرویس» داغ شده‌است. تروجان‌های بانکی قدیمی و جدید هم‌چنان در حملات نفوذگرها استفاده خواهند شد، چرا که در سرویس‌هاس مالی، پول و اطلاعات حساس فراوان وجود دارد.

۲۷ مهر, ۱۳۹۴

 

منبع: ASIS