ایتنا- محققان امنیتی هشدار می دهند یك تروجان جدید كه كاربران خدمات مالی آنلاین را هدف قرار داده است، این پتانسل را دارد كه تا چند ماه آینده به سرعت گسترش یابد.
يکشنبه ۱۰ آذر ۱۳۹۲ ساعت ۱۲:۴۱
تروجان 'Neverquest'، كاربران بانكی را تهدید می كند
محققان امنیتی هشدار می دهند یك تروجان جدید كه كاربران خدمات مالی آنلاین را هدف قرار داده است، این پتانسل را دارد كه تا چند ماه آینده به سرعت گسترش یابد.
به گزارش ایتنا از مرکز ماهر، بدافزار Neverquest بسیاری از قابلیت های بدافزارهای مالی دیگر را دارا می باشد. این بدافزار می تواند محتوی وب سایت هایی كه توسط IE یا فایرفاكس باز شده اند را تغییر داده و فرم های جعلی را به آن ها تزریق نماید.
سپس می تواند نام های كاربری و رمز عبوری كه در این وب سایت ها توسط قربانی وارد می شود را به سرقت برده و به مهاجمان اجازه دهد تا از راه دور و با استفاده از VNC كنترل سیستم های آلوده را در اختیار بگیرند.
در پیكربندی پیش فرض این تروجان، ۲۸ وب سایت هدفمند كه متعلق به بانك های بین المللی بزرگ و خدمات عمومی پرداخت آنلاین می باشند، تعریف شده است. با این حال، علاوه بر این وب سایت ها، این بدافزار قادر است تا صفحات وبی كه كاربر مشاهده می كند و حاوی كلمات خاص مانند balance، checking account و account summary می باشد را شناسایی نموده و محتوی آن را برای مهاجم ارسال نماید. این روش به مهاجمان كمك می كند تا وب سایت های مالی جدید را شناسایی نمایند.
پس از آنكه مهاجم اطلاعات لازم در خصوص حساب كاربری كاربر بر روی یك وب سایت را در اختیار گرفت، برای اتصال به كامپیوتر كاربر از طریق VNC از یك سرور پروكسی استفاده می كند و به طور مستقیم به حساب كاربری دسترسی می یابد.
در این مسیر مهاجم باید مكانیزم های حفاظتی حساب كاربری را دور بزند زیرا عملیات انتقال پول از طریق مرورگر قربانی انجام می شود.
روش هایی كه برای توزیع Neverquest استفاده می شود شبیه به روش هایی است كه برای توزیع كلاینت بات نت Bredolab به كار برده می شود. بات نت Bredolab معروفترین و گسترده ترین بدافزار سال ۲۰۱۰ می باشد.
بدافزار Neverquest اعتبارنامه های ورود به حساب را از روی كلاینت FTP برنامه های نصب شده بر روی رایانه های آلوده به سرقت می برد.
سپس مهاجمان برای آلوده كردن وب سایت ها به بسته كد سوء استفاده Neutrino از این اعتبارنامه های FTP استفاده می كنند و بدین وسیله از آسیب پذیری موجود در پلاگين مرورگر سوء استفاده كرده تا بدافزار Neverquest را بر روی رایانه هدف نصب نمایند.
هم چنین این برنامه تروجان می تواند اعتبارنامه های SMTP و POP را از كلاینت های ایمیل به سرقت ببرد و برای مهاجمان ارسال كند. بنابراین مهاجمان می توانند با استفاده از این اعتبارنامه ها، ایمیل های هرزنامه ای حاوی الصاقات مخرب را برای كاربر ارسال نمایند.
این ایمیل ها بسیار شبیه اطلاعیه های رسمی از برخی ارائه دهندگان خدمات طراحی شده است.
انتظار می رود تا پایان سال حملات گسترده این بدافزار مشاهده شود به گونه ای كه بسیاری از كاربران خدمات مالی آنلاین، قربانی این تروجان شوند.
کد مطلب: 28601
