ایتنا Ramnit، یك كرم كامپیوتری است كه برای اولین بار در سال 2010 كشف شد. در آن زمان این كرم از طریق آلوده كردن فایل های اجرایی، مایكروسافت آفیس و HTML بر روی كامپیوترهای محلی گسترش یافته بود.
چهارشنبه ۳۰ مرداد ۱۳۹۲ ساعت ۱۲:۴۷
استفاده هكرها از بدافزار Ramnit
با توجه به یافته های محققان از شركت امنیتی Trusteer، نوع جدیدی از بدافزار مالی Ramnit به منظور سرقت اعتبارنامه های ورود برای حساب كاربری Steam، در تزریق مرورگر وب محلی مورد استفاده قرار می گیرد.
به گزارش ایتنا از مرکز ماهر، Ramnit، یك كرم كامپیوتری است كه برای اولین بار در سال ۲۰۱۰ كشف شد. در آن زمان این كرم از طریق آلوده كردن فایل های اجرایی، مایكروسافت آفیس و HTML بر روی كامپیوترهای محلی گسترش یافته بود.
این بدافزار می تواند كوكی های مرورگر و اعتبارنامه های FTP كه به صورت محلی ذخیره شده اند را به سرقت ببرد.
هم چنین می تواند به منظور تغییر فرم های وب و تزریق كد مخرب به صفحات وب از یك روش شناخته شده به نام حمله MitB استفاده نماید.
عملكرد MitB معمولا توسط بدافزارهای مالی برای فریب كاربران بانكداری آنلاین به منظور افشای اطلاعات شخصی و مالی آن ها مورد استفاده قرار می گیرد.
محققان امنیتی از شركت Trusteer، اخیرا گونه جدیدی از این بدافزار را شناسایی كرده اند كه كاربران Steam، یكی از بزرگترین توزیع كنندگان پلت فرم های چند نفره آنلاین برای بازی های كامپیوتری را مورد هدف قرار داده است.
مجرمان سایبری حساب های كاربری Steam را با استفاده از بدافزار و حملات سرقت هویت مورد هدف قرار داده اند. با این حال، بدافزار Ramnit برای سرقت اعتبارنامه های ورودی كاربران از روش های پیشرفته دیگری مانند تزریق وب استفاده می كند.
با توجه به یافته های محققان، هنگامی كه یك كاربر به صفحه ورودی Steam Community دسترسی می یابد و نام كاربری و رمز عبور خود را وارد می نماید، فرم مربوطه با استفاده از كلید عمومی سایت رمزگذاری می شود.
برای غلبه بر این موضوع، Ramnit فرم را به گونه ای تغییر می دهد كه به آن اجازه دهد تا از متن ساده رمز عبور كپی تهیه كند. كاربر این تغییر را حس نمی كند زیرا در صفحه ورودی هیچ تغییری رخ نداده است.
هنگامی كه كاربر فرم را تكمیل می كند و آن را ثبت می كند، این بدافزار درخواست ها را ردگیری می كند و داده ها را از فیلد رمزگذاری نشده فرم می خواند و قبل از ارسال درخواست برای سرور Steam Web، فیلد مربوطه را حذف می كند. در نتیجه این حمله از دید نرم افزار امنیتی پنهان می ماند.
در گذشته بدافزار Ramnit تنها برای هدف های بانكی مورد استفاده قرار می گرفت اما در حال حاضر مشاهده می شود كه هدف حمله این بدافزار موقعیت ها، سازمان ها و خدمات غیر بانكی می باشد.
کد مطلب: 27231
