نماد سایت اتاق خبر شبکه گستر

بدافزار بانکی Trickbot، هر روز مخرب‌تر از دیروز

در حالی که چند ماه قبل نویسندگان Trickbot قابلیت قفل نمودن صفحه و توانایی گریز از سد ابزارهای شناسایی را به این بدافزار بانکی افزوده بودند، اکنون شرکت ترند مایکرو از تجهیز Trickbot به ماژولی برای سرقت رمزهای عبور مرورگرهای رایج و چندین نرم‌افزار پراستفاده دیگر خبر داده است.

فهرست مرورگرها و نرم‌افزارهای مذکور به‌شرح زیر است:

به گزارش شرکت مهندسی شبکه گستر، دستیابی به رمزهای عبور این نرم‌افزارها از طریق پویش فایل‌های Cookie، سوابق فراخوانی سایت‌ها، اطلاعات موسوم به Autofill و ارسال‌های صورت گرفته در بستر پودمان HTTP Post انجام می‌پذیرد.

نویسندگان Trickbot ماژول جدید را از طریق سرورهای فرماندهی در اختیار بدافزار نصب شده بر روی دستگاه‌های تحت سیطره خود قرار می‌دهند.

خوشبختانه حداقل در حال حاضر ماژول جدید توانایی سرقت رمزهای عبور نرم‌افزارهای موسوم به Password Manager را دارا نمی‌باشد. هر چند که بر اساس گزارش ترند مایکرو قابلیت جمع‌آوری داده‌ها توسط Trickbot از طریق افزونه‌های مرتبط با نرم‌افزارهای مذکور هنوز مورد بررسی محققان این شرکت قرار نگرفته است.

Trickbot برای ماندگاری بر روی دستگاه قربانی اقدام به ایجاد سرویسی می‌کند که در هر بار راه‌اندازی شدن سیستم عامل به‌صورت خودکار شروع به کار می‌کند.

از جمله روش‌های انتشار این بدافزار، آلوده‌سازی دستگاه کاربران در زمان مراجعه آنها به سایت‌های حاوی تبلیغات مخرب است (Malvertising). ذکر این نکته ضروی است که انتشار در سطح شبکه با عملکرد کرم‌گونه نیز از جمله توانایی‌های این بدافزار محسوب می‌شود و بنابراین آلوده شدن اولین دستگاه در شبکه، دستگاه‌های دیگر سازمان را نیز در معرض خطر قرار می‌دهد.

نخستین نسخه از Trickbot در سال 2016 شناسایی شد؛ برخی کارشناسان Trickbot را بدافزاری مبتنی بر بدافزار بانکی Dyreza می‌دانند. علاوه بر توانایی جاسوسی از کاربران و مشتریان بسیاری از بانک‌ها این بدافزار امکان تزریق کدهای مخرب را در صفحات مرورگر قربانی – با هدف دست‌درازی به صفحات بانکی فراخوانی شده توسط کاربر – برای مهاجمان میسر می‌کند که پیش‌تر در این خبر به تفصیل به آن پرداخته شد.

همچنین Trickbot قادر به سرقت ارز رمز از کیف‌های بیت‌کوین و جمع‌آوری اطلاعات اصالت‌سنجی و ایمیل‌ها با استفاده از ابزار Mimikatz است.

توضیح این که نسخه بررسی شده توسط شرکت ترند مایکرو با نام‌های زیر قابل شناسایی است:

Bitdefender:
   – Trojan.Emotet.JG

McAfee:
   – RDN/Generic.grp

Sophos:
   – Mal/Generic-S

مشروح گزارش ترند مایکرو در لینک زیر قابل دریافت و مطالعه است:

خروج از نسخه موبایل