آلودگی Terdot بزرگترین تروجان سرقت اطلاعات بانکی

یک تروجان بانکی که در تاریخ اکتبر 2016 رویت شد، تبدیل به یک ابزار هک پیشرفته شده است که منحصرا یک تروجان بانکی به حساب می آید. اما میتواند در غالب Backdoor دور و ابزار سرقت اطلاعات استفاده شود. کارشناسان بیت دیفندر موفق به شناسایی چگونگی روند تاثیرگذاری این تروجان شدند. همچنین برای محافظت از سیستم آنتی ویروس بیت دیفندر در زمینه ی بیت دیفندر خانگی و بیت دیفندر سازمانی قابلیت ارائه ی خدمات به مشتریان را دارد.

یک تروجان بانکی که در تاریخ اکتبر 2016 رویت شد، تبدیل به یک ابزار هک پیشرفته شده است که منحصرا یک تروجان بانکی به حساب می آید. اما میتواند در غالب یک بک دور و ابزار سرقت اطلاعات استفاده شود.

نام این مخرب Terdot میباشد. این آلودگی جدید در حال حاضر شیوع همگانی پیدا نکرده است. اما در حال حاضر مشاهده شده که کاربران بانک های کانادایی را هدف قرار میدهد و از طریق اسکپلویت آلوده ی Sundown و هرزنامه ها انتقال میابد.

در حالی که اکسپلویت sundown ماهیت اصلی پخش آلودگی را دارد، ایمیل ها تا حدی عجیب به نظر میرسند. آنان تنها عکس از ایکون فایل pdf را نشان میدهند. اگر کاربر بر روی این عکس کلیک کند، کد اسکریپت اجرایی فایل فعال میشود و مخرب Terdot را دانلود و اجرا میکند.

با توجه به هدف های محدود، کمپین این مخرب خطرناک دقیق مشخص نیست. بیت دیفندر یک گزارش تحلیلی از چگونگی کار این تروجان منتشر کرد.

Terdot بر اساس تروجان بانکی زئوس طراحی شده است

تروجان صرفا یک کد نویسی خیلی خاص نیست اما بر اساس کد های سورس تروجان بانکی معروف ملقب به زئوس طراحی شده است که در سال 2011 منتشر شد.

اکنون تعداد تروجان های بانکی فعال به صورت روزمره میباشد، اما گروهی که در پشت تروجان Terdot هستند با استاندارد های تروجان زئوس ارتباط خوبی ندارند و به جای آن  کد های پایه ی آن را توسعه دادند و قابلیت های تهاجمی جدیدی را اضافه کرده اند.

خاصیتی که این مخرب از زئوس گرفته است، مکانیزم تزریق کد های آلوده به پردازش های مرورگر و تنظیمات سیستمی آن میباشد که به مهاجمین این اجازه را میدهد تا صفحاتی که تروجان هدف دارد را کنترل کنند.

امکانات جدید زیادی وجود دارد. بر اساس اظهارات بیت دیفندر Terdot قادر به کنترل کرد پروکسی سرور های لوکال MitM نیز میباشد تا ترافیک وب را از سر مسیر یابی کند تا امکان هدف قرار دادن سایت هایی فراتر از سایت های بانکی را فراهم سازد. همچنین امکان دانلود و اجرای فایل از طریق ریموت سرور را بر روی سیستم کاربر میسر میسازد.

برای اجرای بیشتر این اقدامات، این تروجان تنها بر اساس کد های پیکربندی شده پیش نمیرود تا مبادا نرم افزار ها یا آنتی ویروس ها آن را شناسایی کنند. اما این تروجان از ابزار های خاصی استفاده میکند که معمولا جزو فهرست سفید هستند و آلودگی شناسایی نمیشوند.

این تروجان تمامی اطلاعات کاربری را در وب سایت های معروفی چون Live.com , Yahoo , Gmail , Facebook , Twitter , Google+ و یوتیوب اسکن میکند. بیت دیفندر اذعان دارد که کد هایی را کشف کرده است که منحصرا تروجان را از سرقت اطلاعات کاربری وب سایت VK.com (بزرگترین شبکه ی اجتماعی روسیه) باز میدارد و بالطبع محل خواستگاه این آلودگی را بیان میکند.

گزارش بیت دیفندر همچنین این مسئله را خاطرنشان میکند که تروجان Terdot کار برنامه نویسان معمولی نیست. این تروجان مجهز به سیستم آنتی Vm ضد گریز میباشد که توسط کامپوننت ها و اجزای متفاوتی دانلود میشود تا از شناسایی دور بماند. همچنین از یک الگوریتم دامین مخصوص (DGA) استفاده میکنند تا دامین های جدید را برای سرور C&C خود تولید کنند و ردیابی را دشوار سازند.

احتمالا پیشرفته ترین قابلیت Terdot قابلیت پروکسی MitM آن میباشد. این ابزار به سوکت های شبکه ی سیستم قربانی وصل میشود تا تمامی ترافیک ها را به سرقت ببرد. همچنین قابلیت اتصال های HTTPS را میتواند بخواند چرا که از یک بخش اجرایی در موزیلا استفاده میکند که دارای یک افزونه به نام پکیج ابزار NSS میباشد تا گواهینامه ی غیر معتبر خود را اضافه کند و ترافیک های SSL را بخواند.

پروکسی MitM از طریق مرورگر مکانیزم تزریق کد آلوده را انجام میدهد تا دسترسی های کاربری را به سرقت ببرد. برای سایت هایی که از این مکانیزم استفاده نمیکنند. تروجان Terdot درخواست های خام شبکه را میخواند تا نام کاربری و رمز عبور را استخراج کند یا کد های آلوده را در درخواست های پکت شبکه قرار میدهد تا از بارگذاری کد های مخرب در اطلاعات کاربری مطمئن شود.

پیشگیری و محافظت

برای محافظت در برابر باج افزار Crysis یا هر باج افزار دیگر، بسیار مهم است که عادات بد کامپیوتری کنار گذاشته شود و همچنین از یک آنتی ویروس امنیتی استفاده گردد. در وهله ی اول نیز میبایست یک بکاپ تست شده و قابل اتکا از اطلاعات خود داشته باشید که در موارد ضروری چون حملات باج افزار، بتوانید آن را restore نمایید.

همچنین به نکات و موارد امنیتی زیر نیز توجه فرمایید:

  • بکاپ، بکاپ، بکاپ
     
  • فایل های ضمیمه شده ی ناشناس در ایمیل یا هر درگاه ارتباطی را باز نکنید.
     
  • فایل های ضمیمه شده را با استفاده از آنتی ویروس هایی چون بیت دیفندر اسکن نمایید.
     
  • از نصب تمامی به روز رسانی های ویندوز به محض عرضه ی آنان مطمئن شوید! همچنین از به روز رسانی تمامی نرم افزار های خود اطمینان حاصل فرمایید. به خصوص نرم افزار هایی چون جاوا، فلش و ادوب ریدر. برنامه های قدیمی حاوی نقص های امنیتی هستند که مرتبا توسط مهاجمین سو استفاده میشوند.
     
  • از نصب نرم افزار های امنیتی و آنتی ویروس ها غافل نشوید. آنتی ویروس بیت دیفندر امکان مدیریت و محافظت کامل از شبکه و مجموعه ی شما را دارد. بیت دیفندر در دو زمینه ی بیت دیفندر سازمانی و بیت دیفندر خانگی آماده ی محافظت از مجموعه ی شماست. زمانی که بیت دیفندر را از نمایندگی بیت دیفندر خریداری نمایید از یکسال پشتیبانی بیت دیفندر توسط شرکت پانا فناور پارسیان بهره مند خواهید بود که با نیروی فنی متخصص توسط کمپانی بیت دیفندر به شما خدمات پشتیبانی خواهد داد. بیت دیفندر همچنین در تست معتبر لابراتوری مستقل av-comparatives.org نیز با شناسایی 100 درصد و شناسایی اشتباه صفر در فهرست برترین آنتی ویروس ها قرار دارد.
     
  • از گذرواژه های سخت استفاده کنید. و از یک رمز عبور برای تمامی حساب های خود استفاده نکنید.
     
  • اگر از سرویس های ریموت دسکتاپ استفاده میکنید از آن به صورت مستقیم به اینترنت استفاده نکنید و تنها از vpn استفاده کنید.

 

منبع: www.bleepingcomputer.com