مشتریان بانک های آمریکا، هدف تروجان Qbot

محققان امنیتی مؤسسه “F5Labs” توانسته اند حمله ای را شناسایی کنند که با استفاده از پی‌لودهای بدافزار “Qbot”، درصدد سرقت اطلاعات ورود به حساب بانکی مشتریان ده‌ها مؤسسه مالی آمریکایی بوده است..

به گفته “Doron Voolf” تحلیلگر بدافزار F5Labs؛ این کمپین در مجموع، 36 مؤسسه مالی آمریکایی مختلف و دو بانک در کانادا و هلند را مورد هدف حملات خود قرار داده است.

تعداد بانک‌های هدف گرفته شده توسط Qbot
تعداد بانک‌های هدف گرفته شده توسط Qbot در کشورهای مختلف (F5 Labs)

 

“Qbot” (که به نام‌های Qakbot، Pinkslipbot و Quakbot هم شناخته می‌شود) یک تروجان بانکی با امکانات کرم‌های رایانه‌ای است که از آن برای سرقت داده‌های مالی و اطلاعات ورود به حساب‌های بانکی استفاده می شود. از دیگر مواردی که مهاجمان از این تروجان استفاده می کنند می توان به ثبت کلیدهای تایپ شده توسط کاربر، نصب در پشتی و همچنین نصب سایر بدافزارها بر روی سیستم‌های آلوده اشاره کرد.

 

تروجان بانکی قدیمی، اکنون با امکاناتی جدید

با این که از سال 2008 میلادی تاکنون از بدافزار “Qbot” استفاده می شود و در طول این سال ها، هسته اصلی آن تغییر چندانی نداشته است اما در آخرین نمونه‌های شناسایی شده از آن توسط محققان F5Labs، قابلیت‌های جدید متفاوتی به این تروجان افزوده شده است. نسخه‌های جدید این بدافزار طوری طراحی شده‌ اند که متوجه تحلیل محققان شده و می توانند آن را دور بزنند.

Voolf در گزارش خود گفته است که: «در حال حاضر، Qbot مجهز به یک لایه جدید شده است که این لایه سعی می‌کند کدها را از دید ابزارهای تشخیص مبتنی بر امضا و پویشگرها مخفی کند. این بدافزار در جدیدترین نسخه های خود، مجهز به فنون ضدماشین مجازی شده که به مقاوم سازی آن در برابر بررسی‌های جرم یابی رایانه ای کمک می‌کند».

 

روش کار بدافزار Qbot 

بدافزار Qbot با استفاده از روش‌های مرورگر ربایی (تغییر نشانی وب) وارد رایانه‌هایی می‌شود که از قبل توسط نفوذگران، مورد هدف قرار گرفته اند. چنین کاری، روش اصلی برای آلوده کردن سیستم‌های قربانی توسط این تروجان است.

پس از نصب Qbot بر روی سیستم قربانی، این بدافزار وارد پردازش explorer.exe در حافظه شده و خودش را در پوشه %APPDATA% کپی می‌کند. همچنین با اضافه کردن یک کلید جدید در رجیستری، تغییری ایجاد می کند که با هر بار روشن شدن سیستم، آن نیز به صورت خودکار اجرا شود.

طبق توضیحات Voolf: «بدافزار Qbot که هر بار به صورت خودکار اجرا می شود، ترافیک اینترنت قربانی را زیرنظر گرفته و همواره به دنبال نرم افزارهای مالی خاصی است که بتواند اطلاعات ورود به حساب کاربر را از آنها استخراج کند».

 

استفاده از بدافزار در کمپین‌های هدفمند

مهاجمان معمولاً برای انتقال پی‌لودهای مخرب Qbot به سیستم های هدف، از اکسپلویت کیت استفاده می‌کنند. آنها سپس اکسپلویت‌ها را در سطح شبکه به اشتراک گذاشته و با اجرای حمله های شدید جستجوی فراگیر، به آلوده کردن سایر دستگاه‌های موجود در آن شبکه می‌پردازند. علاوه بر این، توسعه دهندگان Qbot جهت پیشگیری از تشخیص بدافزار بانکی شان، از قابلیت‌های خاصی استفاده کرده اند که شامل روشی هوشمندانه برای سرهم کردن دو نیمه رمزنگاری شده کد است.

این تروجان بانکی که بیش از یک دهه از فعالیت آن می‌گذرد، در حمله های هدفمند خود بیشتر بر روی شرکت ها تمرکز کرده است تا میزان سرمایه بازگشتی از حمله های خود را بتواند به بیشترین حد ممکن برساند. کمپین‌های Qbot که در سال‌های اخیر اجرا شده اند، اثباتی برای این موضوع هستند.

 

منبع: bleepingcomputer

خروج از نسخه موبایل