انتشار شده در تاریخ 1399/02/27 - 11:42

کاربران نگران کرونا، هدف تروجان بانکی Zeus Sphinx

تروجان بانکی Zeus Sphinx در حالی با سوءاستفاده از نگرانی جهانی کرونا در حال انتشار است که به‌طور مستمر خود را به‌روزرسانی و مجهز به قابلیت‌های مخرب بیشتر می‌کند.

به گزارش کارگروه امنیت سایبربان ، به نقل از پایگاه اینترنتی ZDNet، این بدافزار بر پایه کد افشاشده نسخه ۲ تروجان معروف Zeus ساخته‌شده است. Zeus Sphinx که بانام‌های Zloader و Terdot نیز شناخته می‌شود اولین بار در سال ۲۰۱۵ در جریان اجرای حملاتی بر ضد بانک‌های آمریکایی شناسایی شد. اما برای سال‌ها به‌استثنای چند کارزار سایبری فعالیت چشمگیری از Zeus Sphinx گزارش نشد.

اکنون مدتی است که این تروجان مجدداً در حملات بر ضد بانک‌ها و همچنین در کارزار جدیدی در ظاهر مرتبط با بیماری کووید ۱۹ فعالیت آن از سر گرفته‌شده است.

در ماه مارس، IBM از اجرای موجی از حملات خبر داد که در آن‌ها تروجان در اسناد فیشینگ مخفی‌شده و از طریق ایمیل منتشر می‌شد. در آن حملات این‌طور وانمود می‌شد که ایمیل حاوی اطلاعاتی مرتبط با کمک مالی در خصوص بیماری کووید ۱۹ است.

این حملات همچنان فعال است و در دورانی که بسیاری به سبب همه‌گیری کووید ۱۹ و اثرات اقتصادی آن نیازمند کمک هستند کاربران مورد هدف قرار می‌گیرند.

بررسی‌های IBM نشان می‌دهد که این بدافزار درنتیجه ارتقاهای مستمر مستحکم‌تر و قدرتمندتر از قبل شده است.

Zeus Sphinx از طریق پیوست مخربی که در آن از قربانی خواسته می‌شود که ماکرو را فعال کند به سیستم راه پیدا می‌کند. به‌محض اجرا، بدافزار اقدام به ایجاد یک کلید Run در Windows Registry برای ماندگار کردن و اجرای خودکار خود در هر بار راه‌اندازی سیستم می‌کند.

ایجاد کلید Run روشی بسیار رایج برای ماندگار کردن پروسه مخرب بر روی دستگاه آلوده است که Zeus Sphinx از ابتدای پیدایش از آن استفاده می‌کرده است. Zeus Sphinx خود را در قالب یک فایل اجرایی یا یک DLL مخرب توزیع می‌کند.

همچنین Zeus Sphinx یک پروسه مستقل بانام msiexec.exe که عنوان آن برای مخفی نگاه‌داشتن ماهیت مخرب بدافزار برگرفته از یک برنامه معتبر با همین نام است ایجاد می‌کند.

در ژانویه ۲۰۲۰، نمونه‌هایی از بدافزار از فهرستی متغیر از سرورهای فرماندهی (C۲) و یک کلید RC۴ برای رمزگذاری ارتباطات بات‌نت استفاده می‌کردند.

اما نمونه‌های اخیر بدافزار با شناسه‌ای جدید، شامل مجموعه‌ای متفاوت از کلیدهای RC۴ و یک مجموعه کوچک‌تر اما متفاوت از سرور فرماندهی هستند.

همچنین Zeus Sphinx از یک مولد اعداد شبه تصادفی (Pseudo-random Number Generator – به‌اختصار PRNG) به نام MT۱۹۹۳۷ برای ایجاد تغییر در نامهای فایل و منابع دستگاه آلوده باهدف عبور از سد محصولات امنیتی مبتنی بر پویش ایستا استفاده می‌کند.

Zeus Sphinx برخلاف هم‌قطارانی همچون TrickBot تمرکز ویژه‌ای بر کلاهبردای‌های آنلاین بانکی دارد. IBM معتقد که مؤسسات مالی باید توجه خاصی به بازگشت این تروجان و تلاش آن برای کسب قربانیان بیشتر با استفاده از موضوع داغ این روزها یعنی بیماری کووید ۱۹ کنند.

جزییات بیشتر در مورد نسخه جدید Zeus Sphinx در لینک زیر قابل‌مطالعه است:

https://securityintelligence.com/posts/zeus-sphinx-back-in-business-some-core-modifications-arise/

TrickBot نیز از الگوهای مرتبط با کووید ۱۹ برای انتشار خود بهره می‌گیرد. در ماه آوریل، Microsoft از فعالیت کارزارهای ناقل این بدافزار در ایمیل‌هایی با محتوای دروغین مرتبط با توصیه پزشکی و تست کووید ۱۹ خبر داد.