بدافزار های بانکی

محققان امنیتی یک کارزار در حال اجرا که از سال 2020 شروع شده است را کشف کرده اند که با استفاده از زبان اسکریپت نویسی AutoHotkey نوشته شده است و در حال سرقت رمز عبور کاربران می باشد.

مشتریان بانکها و موسسات مالی در آمریکا ، کانادا و یک مورد در هند با تمرکز بر بانکهایی مانند Scotiabank, Royal Bank of Canada, HSBC, Alterna Bank, Capital One, Manulife, and EQ Bank اهداف اصلی این سرقت ها می باشند

AutoHotkey یک زبان برنامه نویسی متن باز سفارشی برای مایکروسافت ویندوز است که هدف آن ارائه کلیدهای میانبر آسان برای ایجاد ماکرو و اتوماسیون نرم افزار است که به کاربران امکان می دهد کارهای تکراری را در هر برنامه ویندوز به صورت خودکار انجام دهند.

زنجیره عفونت و آلودگی چند مرحله ایی با یک فایل اکسل متشکل از بدافزار که در آن یک ماکرو خودکار بازشونده تعبیه شده است آغاز می شود که برای بارگیری و اجرای اسکریپت adb.ahk با استفاده از adb.exe انجام می شود.

سرقت رمزهای عبور

 

اسکریپت سرویس گیرنده دانلود کننده همچنین مسئول دستیابی به پایداری ، پروفایل قربانیان و بارگیری و اجرای اسکریپتهای AHK اضافی از سرورهای فرمان و کنترل (C&C) واقع در ایالات متحده ، هلند و سوئد است.

آنچه این بدافزار را متفاوت می کند این است که به جای دریافت مستقیم دستورات از سرور C&C ، اسکریپت های AHK را بارگیری و اجرا می کند تا کارهای مختلف را انجام دهد.

محققان Trend Micro در تحلیلی گفتند: “با این کار ، مهاجم می تواند تصمیم بگیرد که یک اسکریپت خاص را بارگذاری کند تا به کارهای سفارشی برای هر کاربر یا گروهی از کاربران دست یابد.” همچنین از آشکار شدن برنامه اصلی برای عموم ، به ویژه برای سایر محققان جلوگیری می کند.”

کار اصلی در این بین سرقت رمز عبورها است که مرورگرهای مختلفی مانند Google Chrome ، Opera ، Microsoft Edge و غیره را هدف قرار می دهد. پس از نصب ، بدافزار همچنین سعی می کند یک ماژول SQLite (“sqlite3.dll”) را بر روی دستگاه آلوده بارگیری کند و از آن برای انجام نمایش داده های SQL در برابر پایگاه داده SQLite در پوشه های برنامه مرورگرها استفاده کند.

در مرحله آخر ، بدافزار اطلاعات مربوط به مرورگرها را جمع آوری و رمزگشایی می کند و اطلاعات را در متن ساده و از طریق درخواست HTTP POST به سرور C&C منتقل می کند.  محققان گفتند: “با استفاده از یک زبان اسکریپت نویسی که فاقد کامپایلر داخلی در سیستم عامل قربانی است ، بارگیری اجزای مخرب برای دستیابی به کارهای مختلف به طور جداگانه و تغییر مکرر سرور C&C ، مهاجم توانسته است قصد خود را از  پنهان کند.”

 

 

ده تا از جدیدترین و خطرناکترین ویروس و تهدیدات مخرب در سال 2020

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*

code