کمپین جدید اسپم، بدافزار تریک‌­بات را گسترش می‌دهد و دراپ­‌باکس را جعل می‌کند

نحوه به دست گرفتن کنترل کامپیوتر کاربران به وسیله هکرهای مخرب

 

بدافزار تریک‌­بات  را به خاطر می‌‌آورید، تروجانی که در سال‌های گذشته تعداد زیادی از کمپانی‌های بانکداری آمریکا مثل پی­‌پال (PayPal) را هدف قرار داد. توسعه‌دهندگان این تروجان در تلاش برای بهبود آن به منظور دستیابی به شیوه‌ای مناسب برای جمع‌آوری اطلاعات کاربران هستند. اخیراً محققین پی برده‌اند که این کمپین هرزنامه‌ای برای هدف‌گیری و جعل دراپ­‌باکس‌ها (Dropbox) اقدام کرده‌اند.

محققین امنیتی، کمپین هرزنامه‌ای جدیدی را که بدافزار تریک‌­بات را گسترش می‌دهد آنالیز کرده‌اند، این کمپین به این صورت است که گویا بدافزار تریک‌­بات از سایت قانونی دراپ­‌باکس دانلود می‌شود و بی‌خطر است، اما این‌گونه نیست بلکه از سایتی مشابه با دراپ­‌باکس دریافت می‌شود.

در زیر به جزئیات این ایمیل‌ها اشاره شده است (آدرس‌ها برای امنیت شما سانسور شده‌اند.)

از: no-reply @ dropboxsec [.] Com» Dropb‌ox»

موضوع: پوشه‌ای (سند) جدید برای دانلود کردن آماده است.

محتویات: سلام، رئیس شرکت شما یک فایل امنیتی را برای استفاده شما و یا شرکتتان آپلود کرده است.

ID شما: [آدرس ایمیل] کلید دانلود منحصر بفرد شما: 6M4V74YEVMDHGR اعداد و شماره‌هایی که دریافت می‌کنید، ID ای منحصربه‌فرد برای سندی است که دریافت می‌کنید. برای تماشا یا پرینت سند مربوطه، بر روی این لینک کلیک کنید. [لینک به سایتی مشابه با سایت دراپ باکس] سند با ID شما باز می‌شود. اکنون می‌توانید بر روی سند مربوطه، بسته به نوع دسترسی‌تان عملیاتی مثل دانلود، ذخیره یا پرینت انجام دهید.

برای اطلاعات بیشتر با مدیریت تماس بگیرید.

با تشکر تیم دراپ باکس.

نحوه ایجاد آلودگی

اگر شخصی فریب این نوشته‌ها را بخورد و بر روی این لینک مخرب کلیک کند، فایلی آلوده همراه با آدرس زیر به او ارسال می‌شود:

https: [//] dropbo‌xsec [.] net / 6M4V74YEVMDHGR. doc

اگر کد ماکرو در فایل word فعال باشد، بدافزار تریک­بات از URL زیر دانلود می‌شود. (آدرس برای حفاظت شما سانسور شده است.)

http: // techknowlogix [.] net / farestod.png
Http: // pcstore.com [.] ve / farestod.png

این نوع از تریک­بات به ربات اصلی با ID “tt0002” و نسخه شماره 1000147 متصل می‌شود، که شامل چندین ماژول ارسالی به سیستم قربانی مثل فایل پیکربندی به صورت رمزنگاری شده است.

این ربات به کمک یک سرور COM، در ویندوز قربانی، یک “task” می‌سازد که می‌تواند بعد از ریست کردن کامپیوتر، شروع به اجرای پی­لود (payload) مربوط به تریک­بات از مسیر “AppData \ Roaming \% Client_id%” کند.

تریک­بات از API های “GetNativeSystemInfo” یا “wProcessorArchitecture” برای متوجه شدن از اینکه آیا محیط کاری یا CPU 32 بیتی است یا 64 بیتی، استفاده می‌کند.

در اینجا فایل پیکربندی سرور C&C (سرور تحت مدیریت هکر) که بالاتر به آن اشاره کردیم، نشان داده شده است. این سرورها برای برقراری ارتباط با کامپیوتر آلوده استفاده می‌شوند.

<Mcconf>
<Ver> 1000000 </ ver>
<Gtag> tt0002 </ gtag>
<Servs>
[C & C: [port]] </ Servs>
<Autorun>
<module name = “systeminfo” ctl = “GetSystemInfo” />
</ Autorun>
</ Mcconf>

در زمان نوشتن این مقاله، بنا بر تحقیقات VirusTotal تنها 17 آنتی‌ویروس از 56 عدد، موفق به کشف این کمپین ایمیل شدند.

بدافزار تریک‌­بات

چگونه در برابر تروجان های بانکی در امان بمانیم

Trikbot از نظر ویژگی‌های تروجانی مخصوص به بانکداری و روش‌های متفاوت خود برای سرقت اطلاعات شخصی افراد، بسیار معروف است.

به شما توصیه می‌کنیم:

خروج از نسخه موبایل