افزایش نفوذ بدافزارهای حوزه پولی و مالی

به گزارش کارگروه امنیت سایبربان؛ شرکت امنیت سایبری چک پوینت (Check Point) طی گزارشی اعلام کرد، تروجان ها و بدافزارهای حوزه پولی و مالی گسترش چشمگیری داشتند و بسیاری از این حملات بر پایه تهاجمات فیشینگ بنا شده است. بسیاری از رایانامه ‌ها آلوده هستند و مهاجمان به دنبال سرقت پول و اطلاعات می ‌باشند.

طبق اعلام شرکت امنیت سایبری چک پوینت، 50 درصد بدافزار ها و تروجان هایی که در فضای داک وب برای فروش قرار دارند، مربوط به حوزه پولی و بانکی هستند. اکثر این تروجان ها از روش فیشینگ برای نفوذ به سیستم کاربر بهره می برند.

یکی از معروف ترین این بدافزارها، بدافزار بانکی ایموتیت «Emotet» بوده است. ایموتیت «Emotet» نوع جدید از تروجان ‌های بانکی است که مانند کرم گسترش پیدا می ‌کند. طبق اعلام این شرکت بدافزار ایموتیت با الهام از باج‌ افزارهای واناکرای «Wannacry» و نات پتیا «NotPetya» طراحی ‌شده است.

یک مورد دیگر از این بدافزارهای بانکی، تروجان با نام «CamuBot» که مشتریان بانک ‌ها هدف قرار داده است، خود را در قالب یک ماژول امنیتی الزامی ارائه شده توسط بانک معرفی می‌ کند.

این بدافزار از لوگو بانک استفاده می‌کند تا کاملا قانونی به نظر برسد. همچنین، بدافزار گذرواژگان یکبار مصرف که در احراز هویت بیومتریک استفاده می‌شوند را نیز به سرقت می‌ برد. 

انتشار این بدافزار به صورت هدفمند صورت میگیرد. طبق بررسی و اظهارات کارشناسان مهاجمان اطلاعات افراد را از منابعی مانند دفترچه تلفن ‌های محلی، موتورهای جستجو یا شبکه ‌های اجتماعی حرف های بدست می ‌آورند تا کسانی که صاحب کسب ‌و کار هستند و یا حساب بانکی تجاری دارند را شناسایی کنند.

پس از شناسایی هدف، مهاجمان در قالب کارمندان بانک از طریق تماس تلفنی با قربانی ارتباط برقرار می‌ کنند و از وی می خواهند تا به URL مشخصی مراجعه کند و به روز بودن ماژول امنیتی خود را بررسی کند. در این صفحه، یک پیغام جعلی نمایش داده می ‌شود که به کاربر اعلام می ‌کند ماژول امنیتی نرم ‌افزار نیازمند به روز رسانی است. سپس از قربانی در خواست می ‌شود تا تمامی برنامه‌ های باز را ببندد و برنامه مخرب را دانلود کند. برنامه مخرب از لوگو بانک استفاده می‌کند تا قانونی به نظر برسد. همچنین نام فایل دانلود شده و URL منبع آن در هر حمله تغییر می ‌کند.

نکته جالب توجه در مورد این بدافزار، دور زدن احراز هویت بیومتریک (تشخیص چهره، صدا و غیره) است. بدافزار قابلیت این را دارد که درایور دستگاه احراز هویت بیومتریک را دریافت و نصب کند. سپس ارتباط با سرور C&C از طریق پراکسی SOCKS مبتنی بر SSH انجام می‌ شود.

بدافزار «CamuBot» یک برنامه مخرب پیشرفته است و از تکنیک ‌های ساده مانند استفاده از صفحات جعلی و ابزارهای دسترسی از راه دور استفاده نمی‌کند. «CamuBot» مشابه بدافزارهای بانکی اروپایی مانند «TrickBot»، «Dridex» و «QakBot» عمل می‌کند و از روش ‌های مهندسی اجتماعی برای نفوذ به حساب مشتریان بانک‌ ها استفاده می‌ کند.