به گزارش کارگروه حملات سایبری سایبربان؛ کارشناشان آزمایشگاه کسپرسی در گزارشی تازه از حملات 4 تروجان بانکی به کاربران کشورهای اروپایی، آمریکای شمالی و لاتین خبر دادند.
به گفته کارشناسان این آزمایشگاه، این تروجانها که به نامهای گیلدما (Guildma)، جاوالی (Javali)، ملکوز (Melcoz) و گرندوریرو (Grandoreiro) شناخته میشوند خاستگاه برزیلی دارند و از متدهای نوین شناسایی و جمعآوری اطلاعات بهره میگیرند. این 4 تروجان بانکی از سوی محققان کسپرسکی گروه «Tetrade» نامگذاری شدهاند.
تروجان گیلدما که 5 سال پیش در برزیل ظهور کرده است، کاربران کشورهای آمریکای جنوبی، ایالاتمتحده آمریکا، پرتغال، اسپانیا را هدف قرار میدهد. این بدافزار از طریق ایمیلهای فیشینگ توزیعشده و پشت نقاب پیامهای اداری و رسمی و آگهیهای مختلف مخفی میشود.
این بدافزار قادر است با بهرهگیری از افزونههای خاص کدهای مخرب را در سیستم قربانی مخفی سازد. گیلدما میتواند اطلاعات پیکربندی مربوط به آدرسهای سرورهای کنترل را از طریق صفحات فیس بوک و یوتیوب دریافت کند.
تروجان جاوالی که از سال 2017 فعالیت میکند، کاربران ارز دیجیتال و مشتریان بانکهای مکزیک را هدف قرار داده و همچون گیلدما از طریق ایمیلهای فیشینگ پخش میشود. در حال حاضر نیز برای دریافت اطلاعات مربوط به سروهای فرمان از یوتیوب استفاده میکند.
بدافزار ملکوز نیز که از سال 2018 فعالیت خود را آغاز کرده است، کاربران مکزیک، اسپانیا و شیلی را هدف قرار میدهد. این خانواده علاوه بر سرقت اطلاعات مالی به مهاجمان دیگر نیز این امکان را میدهد به سیستمهای قربانیان از راه دور دسترسی داشته باشند.
گرندوریور نیز که شهرت بسیاری دارد در ابتدا فقط کاربران آمریکای لاتین را هدف قرار میداد، اما اکنون اروپا را نیز در جامعه هدف خود قرار داده است. این تروجان معمولاً از طریق سایتهای هک شده و حملات فیشینگ هدفمند توزیع میشود. گرندوریور بهعنوان سرویس ارائه میشود و بسیاری از هکرها با دسترسی به برخی ابزارهای آن حملات خود را تدارک میبینند.
طبق گزارش کسپرسکی، هکرهایی که پشت این چهار خانواده تروجان بانکی قرار دارند به دنبال مشتری در کشورهای دیگر هستند تا بدافزارهای خود را صادر کنند. این بدافزارها همواره قابلیتهای جدیدی کسب کرده و در حملات مختلف مورداستفاده قرار میگیرند.
