بازگشت بدافزار بانکی ZLoader

بدافزار بانکی ZLoader که آخرین بار در اوایل سال 2018 میلادی مشاهده شده بود، از ابتدای سال 2020 در بیش از 100 کمپین ایمیلی مشاهده شده است. در طول این سال ها گویا توسعه این تروجان همچنان به صورت فعال ادامه داشته و از هنگام بازگشت آن در ماه دسامبر 2019 میلادی، 25 نسخه مختلف از آن شناسایی شده که تازه‌ترین آنها مربوط به ماه جاری میلادی بوده است.

نسخه جدید بدافزار ZLoader ، البته با امکانات پیشرفته ­تر

کمپین ایمیلی که برای انتشار این بدافزار مخرب راه اندازی شده است تاکنون توانسته است در کشورهای آمریکا، کانادا، آلمان، لهستان و استرالیا، کاربران زیادی را با موضوعات مربوط به بیماری کرونا و همچنین ارسال فاکتور و صورت حساب­ های جعلی برای آنها فریب دهد.

محققان وب­ سایت Proofpoint در گزارشی اعلام کرده اند که نسخه به روز شده تروجان ZLoader، با نسخه های قبلی این بدافزار که بین سال‌های 2016 تا 2018 میلادی مشاهده شده بودند، تفاوت دارد.

در حال حاضر تلاش‌های مختلفی برای توسعه این بدافزار از سوی توسعه دهندگان آن انجام می­ شود. برای مثال، هر روز حداقل یک کمپین ایمیلی مخرب اجرا می‌شود که در آن از یک فایل متنی آلوده حاوی کد ماکرویی که یک نسخه از ZLoader را بر روی سیستم های قربانیان دانلود و اجرا می‌کند، استفاده می‌شود.

از اسفندماه 98 تاکنون تعداد حملات فیشینگ با موضوع کووید 19 افزایش بسیار زیادی یافته است و به همین دلیل به کاربران در خصوص کلاهبرداری‌های سایبری مربوط به این ویروس خطرناک همواره هشدار داده می‌شود.

طبق مشاهدات مرکز امنیتی IBM X-Force، چنین به نظر می رسد که این سند‌ها، حاوی اطلاعاتی در رابطه با بسته‌های حمایتی دولت آمریکا هستند.

نسخه فعلی این بدافزار فاقد برخی امکانات مشاهده شده در نسخه‌های قبلی است. به عنوان مثال در این نسخه، مبهم سازی کد و رمزنگاری رشته‌ها و حروف وجود ندارد ولی با این حال، این بدافزار همچنان یک تهدید امنیتی جدی محسوب می‌شود.

روش کار بدافزار ZLoader

این بدافزار برای سرقت اطلاعات ورود به حساب­ های کاربری، اطلاعات بانکی و نیز اطلاعات حساس ذخیره شده در مرورگرها مثل کوکی‌ها و کلمه ­های عبور، از ساز­وکار web inject استفاده می‌کند. سپس از اطلاعات به سرقت رفته، جهت ورود به حساب بانک­داری آنلاین کاربران استفاده کرده و با استفاده از یک نرم افزار مدیریت از راه دور (VNC[1]) از روی رایانه آلوده تراکنش را انجام می­ دهد.

بنابراین با استفاده از این روش، هیچ شک و تردیدی برای بانک ایجاد نمی‌شود چون تراکنش از طریق رایانه مشتری و با اطلاعات صحیحی از حساب کاربری او اجرا می‌شود که همین موضوع، لغو این تراکنش جعلی را ناممکن می­ سازد.

ZLoader با نام‌های دیگری همچون Zeus Sphinx، Terdot و DELoader هم شناخته می‌شود. این تروجان بانکی، یک نسخه متفاوت از بدافزار Zeus است که مجرمان در سال 2010 میلادی از آن برای سرقت ده‌ها میلیون دلار پول استفاده کردند. لازم به ذکر است که Zeus در آن زمان، مهمترین ابزار مورد استفاده مجرمانی که در کلاهبرداری‌های مالی تخصص دارند محسوب می‌ شد.

• [1] Virtual Network Computing

منبع: bleepingcomputer