اگرچه موج گسترده شدن باجگیر افزارهای Petya و WannaCry در حال حاضر رو به افول است[۱و۲]، اما مهاجمان با انگیزههای مالی و مجرمان سایبری از گسترده شدن این باجگیر افزارها در سطح جهانی درسهایی گرفتهاند تا بدافزارهای خود را قویتر کنند.
محققان امنیتی در حال حاضر حداقل یک گروه از مجرمان سایبری را کشف کردند که در حال تلاش برای افزودن قابلیتهای پخش شدن خودکار یا worm-like به تروجانهای بانکی خود هستند که اخیراً حملاتی نیز در سطح جهانی و با استفاده از این تروجانها صورت گرفته است.
یک نسخه جدید تروجانهای بانکی TrickBot که اطلاعات حساس کاربران را میدزدند و به ۱۰۰۰۰۲۹ نسخه ۲۴ معروف هستند کشف شدهاند که از Windows Server Message Block یا SMB استفاده کرده که به باجگیر افزارهای WannaCry و Petya اجازه میدهد تا بهسرعت در سراسر جهان گسترده شوند.
TrickBot یک بدافزار و تروجان بانکی است که مؤسسات مالی را در سراسر جهان از سال گذشته تاکنون مورد حمله قرار داده است.
این تروجان عموماً از طریق ضمیمههای قرار داده شده در پست الکترونیک جعل هویت و از طرف مؤسسات مالی بینالمللی بدون نام گسترده میشدند و درواقع یک صفحه قلابی ورود بهحساب کاربری را برای قربانیان به نمایش درمیآوردند تا اطلاعات حساس آنها را بدزدند.
هفته گذشته، محققان در شرکت Flashpoint، که بهطور مستمر فعالیتهای TrickBot و هدفهای آن را دنبال میکردند، کشف کردند که تروجان TrickBot بهگونهای تکامل یافته است تا بهطور محلی در سراسر شبکهها و از طریق Server Message Block یا SMB گسترده شود.
ازآنجاکه نسخه جدید TrickBot همچنان در حال آزمایش است، ویژگیهای جدید هنوز توسط مهاجمانی که در پشت این تروجان قرار دارند بر روی آن پیادهسازی نشده است. همچنین این تروجان هنوز دارای قابلیت پویش تصادفی بر روی IP های خارجی برای ارتباطات SMB نیست[۳] برخلاف WannaCry که از یک آسیبپذیری به نام EtrnalBlue بهرهبرداری میکرد[۴].
محققان شرکت Flashpoint گفتهاند که این تروجان بهگونهای اصلاح شده است که لیستی از دامنههای مربوط به سرورهای آسیبپذیر را از طریق NetServerEnum Windows API پویش کند و تعداد کامپیوترهای بر روی شبکه را از طریق Lightweight Directory Access Protocol (LDAP) شمارش کند.
نوع جدید TrickBot همچنین میتواند خود را بهعنوان setup.exe جا زده و از طریق یک اسکریپت PowerShell بهمنظور گسترش ارتباطات بین پردازنده و دانلود نسخه اضافی TrickBot بر روی درایوهای اشتراکی انتقال یابد.
بر طبق گفته محققان، کشف آخرین نسخه از TrickBot جدید این امکان را فراهم ساخت تا بفهمیم سازندگان این بدافزارها در آینده از چه تکنیکهایی استفاده خواهند کرد.
Vitali Kremez که رئیس بخش تحقیقات در Flashpoint است میگوید: “شرکت Flashpoint با اطمینان زیادی اعتقاد دارد که گروه Trickbot به فعالیتهای خود در آینده نزدیک ادامه خواهند داد. باوجوداینکه ماژول worm به نظر میرسد در حال حاضر هنوز کاملاً به وضعیت ایده آلی نرسیده است، اما واضح است که گروه Trickbot از فعالیتهای worm گونه باجگیر افزارهای دیگر در سطح جهانی مانند WannaCry و NotPetya درس گرفته است و در تلاش است که متدولوژی آنها را تقلید کند.”
بهمنظور محافظت در برابر آلوده شدن توسط چنین بدافزارهایی، شما همیشه باید نسبت به فایلهای ناخواسته که از طریق پست الکترونیک برای شما ارسال میشوند، مشکوک باشید و هرگز بر روی لینکهایی که درون آنها قرار دارند بدون تأیید کردن منبع آنها کلیک نکنید.
برای محافظت از فایلهای باارزش خود، بهطور مستمر و بر روی یک هارد درایو خارجی که همیشه به سیستم شما متصل نیست، از آنها پشتیبان تهیه کنید.
بهعلاوه، از این امر اطمینان حاصل کنید که یک آنتیویروس مطمئن بر روی سیستم خود نصب کردهاید و همیشه آن را بهروزرسانی میکنید.
منابع
[۱] https://apa.aut.ac.ir/?p=2723
[۲] https://apa.aut.ac.ir/?p=2580
[۳] http://thehackernews.com/2017/05/eternalblue-smb-exploit.html
[۴] http://thehackernews.com/2017/04/window-zero-day-patch.html
[۵] http://thehackernews.com/2017/08/trickbot-banking-trojan.html
ثبت ديدگاه