انتشار خودکار بدافزار سارق اطلاعات بانکی

شرکت McAfee جزئیات اسب تروایی با نام Emotet را منتشر کرده که از حدود دو ماه قبل سیستم‌های کاربران را هدف قرار داده است.

Emotet که نخستین گونه آن در سال 2014 شناسایی شد به جمع‌آوری اطلاعات اصالت‌سنجی بانکی معروف است.

نسخه‌های نخستین این بدافزار از نشانی‌های ذخیره شده در بخش Contact نرم‌افزار Outlook برای ارسال هرزنامه استفاده می‌کردند. در نسخه جدید این بدافزار نیز هرزنامه‌های ناقل Emotet حاوی لینکی هستند که کاربر را به یک فایل Office با ماکروی مخرب هدایت می‌کنند.

علاوه بر روش مزبور، نسخه جدید چندین مکانیزم دیگر نظیر اجرای حملات سعی و خطا (Brute Force) را با هدف انتشار خودکار در سطح شبکه بکار گرفته است. ضمن اینکه در این نسخه از تکنیک‌هایی همچون Atom Bombing نیز با هدف عبور از سد محصولات ضدبدافزار استفاده شده است.

در Atom Bombing از جداول Atom سیستم عامل Windows بهره‌جویی می‌شود. بدین نحو که بدافزار کد مخرب را در جدول Atom نوشته و یک پروسه مجاز را ملزم به برداشت آن می‌کند.

به گزارش شرکت مهندسی شبکه گستر به نقل از شرکت McAfee به محض آلوده شدن دستگاه به Emotet، بدافزار اقدام به شناسایی نام کامپیوتر و اطلاعات پروسه اجرا شده کرده و پس از رمزگذاری، آنها را به سرور فرماندهی (Command & Control) خود ارسال می‌کند.

در ادامه بدافزار از طریق سرور فرماندهی، خود را به‌‌روز کرده و بدافزارهای دیگری همچون بدافزار بانکی Dridex را بر روی دستگاه قربانی نصب می‌کند.

Emotet به نحوی برنامه‌نویسی شده که با تزریق کد مخرب در مرورگرهای اینترنتی اطلاعات اصالت‌سنجی بانکی را در زمان وارد شدن توسط کاربر در مرورگر ضبط می‌کند.

تصویر زیر نحوه عملکرد نسخه جدید بدافزار Emotet را نمایش می‌دهد.