محققان درباره ظهور تروجان بانکی تازهای به نام IcedID با قابلیتهای مدرنتر خبر دادند.
به گزارش بانکینا، گروه X-Force آیبیام هشدار میدهد که یک تروجان بانکی به نام IcedID که بهتازگی کشف شده با طراحی پیمانهای و در مقایسه با تهدیدات مالی قدیمیتر با قابلیتهای مدرنتر ساخته شدهاست.
این تهدید جدید نخستینبار در ماه سپتامبر سال ۲۰۱۷ میلادی به عنوان بخشی از پویشهای آزمایشی مشاهده شد و درحالحاضر بانکها، ارائهدهندگان کارت پرداخت، ارائهدهندگان خدمات تلفن همراه، حسابهای حقوق و دستمزد، حسابهای پست الکترونیک و وبسایتهای تجارت الکترونیک در آمریکا و دو بانک بزرگ در انگلستان را بهصورت فعال مورد هدف قرار میدهد.
آیبیام میگوید با اینکه این تهدید شامل ویژگیهای قابل قیاس با تروجانهای بانکی دیگر است، اما میتواند روشهای پیشرفته دستکاری مرورگر را اجرا کند به نظر نمیرسد که IcedID بخشی از کدها را از تروجانهای دیگر گرفتهباشد. با این حال به دلیل اینکه این تهدید شامل قابلیتهایی است که قابل مقایسه با تروجانهایی مانند Zeus ،Gozi و Dridex است، محققان معتقدند که بهزودی IcedID بهروزرسانیهای بیشتری را دریافت خواهدکرد.
به عنوان بخشی از پویشهای آلودگی اولیه، این بدافزار بانکی جدید از طریق تروجان Emotet توزیع شدهاست که تحقیقات X-Force منجر به ایجاد این باور شد که عوامل توزیع آن در حوزهی تهدید جدید نیستند.
آیبیام میگوید، تروجان Emotet در سال جاری برای بسیاری از خانوادههای بدافزار وسیله توزیع و انتقال است که عمدتاً روی آمریکا تمرکز کرده، اما انگلستان و سایر بخشهای جهان را نیز هدف قرار میدهد. در سال ۲۰۱۷ میلادی، Emotet در خدمت گروههای جرایم سایبری اروپای شرقی ازجمله هدایتکنندگان QakBot و Dridex بودهاست و اکنون IcedID را به فهرست بار داده مخرب خود اضافه کردهاست.
تروجان Emotet نخستینبار در سال ۲۰۱۴ میلادی بهعنوان تروجان بانکی مشاهده شد که از طریق هرزنامههای مخرب، معمولاً در داخل اسناد حاوی ماکروهای مخرب آفیس توزیع میشود. هنگامی که Emotet در یک دستگاه وارد میشود به پایداری میرسد و سامانه را در دام یک باتنت میاندازد. همچنین از یک ماژول هرزنامه، یک ماژول کرمواره شبکه برای توزیع بیشتر و سارقان داده و گذرواژه استفاده میکند.
تروجان IcedID شامل قابلیتهای انتشار در شبکه است که نشان میدهد نویسندگان آن، کسبوکارها را با این تهدید جدید هدف قرار میدهند. آیبیام مشاهده کرد که این بدافزار کارگزارهای ترمینالی را آلوده میکند که معمولاً نقاط پایانی و چاپگرها و دستگاههای مشترک در شبکه با یک نقطه اتصال مشترک به یک شبکه محلی (LAN) یا یک شبکه گسترده (WAN) را ارائه میدهند.
محققان میگویند، این تروجان در جستوجوی پروتکل دسترسی مستقیم (LDAP) است تا سایر کاربران را شناسایی و آلوده کند. آنها همچنین یادآوری میکنند که این بدافزار در سیستمهای آسیبدیده، یک پروکسی محلی برای تونل ترافیک ایجاد میکند تا بر فعالیتهای برخط قربانی نظارت کند و هم از تزریق وب و هم از تغییر مسیرها برای انجام عملیات خرابکارانهی خود استفاده کند.
هنگامی که کاربر یک مرورگر وب را باز میکند، تروجان IcedID فایل پیکربندی (حاوی فهرستی از اهداف) را از کارگزار فرمان و کنترل (C&C) بارگیری میکند. همچنین استفاده از لایه سوکتهای امن (SSL) برای ارتباط با کارگزار مشاهده شدهاست.
به نظر نمیرسد این بدافزار از دستگاه پیشرفته ضدمجازی یا روشهای ضدشناسایی استفاده کند هرچند برای کامل کردن فرایند گسترش، نیاز به راهاندازی مجدد دارد، اما به احتمال زیاد از سندباکسهایی که راهاندازی مجدد انجام نمیدهند اجتناب میکند.
روش تغییرمسیر IcedID طراحی شده تا برای قربانی کاملاً یکپارچه نشان دادهشود، بنابراین URL قانونی بانک به همراه گواهینامه SSL درست بانک در نوار آدرس نشان دادهمیشود، که به این معنی است که ارتباط با وبسایت واقعی بانک زنده نگه داشته شدهاست. با این حال، قربانی فریب میخورد تا گواهینامههای خود را در یک صفحه وب جعلی افشا کند. از طریق مهندسی اجتماعی، این قربانی همچنین در مورد افشای عناصر مجوز تراکنش نیز فریب میخورد.
در یک پویش واحد در اواخر ماه اکتبر، مشاهده شد که این تروجان با چهار کارگزار فرمان و کنترل متفاوت در ارتباط است.
اپراتورهای این بدافزار همچنین از یک پنل راه دور اختصاصی مبتنیبر وب استفادهمیکنند تا حملات تزریق در وب را برای وبسایتهای بانک مورد هدف هماهنگ کنند. این پنل با ترکیبی از نام کاربری و گذرواژه قابل دسترسی است. کارگزاری که پنل با آن ارتباط برقرار میکند مبتنی بر بستر وب OpenResty است.
آیبیام بیان میکند: «پنلهای تزریق در وب معمولاً تجاری هستند که مجرمان از بازارهای مخفی خریداری میکنند. ممکن است که IcedID از یک پنل تجاری استفاده کند و یا خود IcedID یک بدافزار تجاری باشد. با این حال، اکنون هیچ نشانهای وجود ندارد که IcedID در فروشگاههای مخفی یا وب تاریک به فروش میرسد.»
