بدافزار تریکبات را به خاطر میآورید، تروجانی که در سالهای گذشته تعداد زیادی از کمپانیهای بانکداری آمریکا مثل پیپال (PayPal) را هدف قرار داد. توسعهدهندگان این تروجان در تلاش برای بهبود آن به منظور دستیابی به شیوهای مناسب برای جمعآوری اطلاعات کاربران هستند. اخیراً محققین پی بردهاند که این کمپین هرزنامهای برای هدفگیری و جعل دراپباکسها (Dropbox) اقدام کردهاند.
محققین امنیتی، کمپین هرزنامهای جدیدی را که بدافزار تریکبات را گسترش میدهد آنالیز کردهاند، این کمپین به این صورت است که گویا بدافزار تریکبات از سایت قانونی دراپباکس دانلود میشود و بیخطر است، اما اینگونه نیست بلکه از سایتی مشابه با دراپباکس دریافت میشود.
در زیر به جزئیات این ایمیلها اشاره شده است (آدرسها برای امنیت شما سانسور شدهاند.)
از: no-reply @ dropboxsec [.] Com» Dropbox»
موضوع: پوشهای (سند) جدید برای دانلود کردن آماده است.
محتویات: سلام، رئیس شرکت شما یک فایل امنیتی را برای استفاده شما و یا شرکتتان آپلود کرده است.
ID شما: [آدرس ایمیل] کلید دانلود منحصر بفرد شما: 6M4V74YEVMDHGR اعداد و شمارههایی که دریافت میکنید، ID ای منحصربهفرد برای سندی است که دریافت میکنید. برای تماشا یا پرینت سند مربوطه، بر روی این لینک کلیک کنید. [لینک به سایتی مشابه با سایت دراپ باکس] سند با ID شما باز میشود. اکنون میتوانید بر روی سند مربوطه، بسته به نوع دسترسیتان عملیاتی مثل دانلود، ذخیره یا پرینت انجام دهید.
برای اطلاعات بیشتر با مدیریت تماس بگیرید.
با تشکر تیم دراپ باکس.
نحوه ایجاد آلودگی
اگر شخصی فریب این نوشتهها را بخورد و بر روی این لینک مخرب کلیک کند، فایلی آلوده همراه با آدرس زیر به او ارسال میشود:
https: [//] dropboxsec [.] net / 6M4V74YEVMDHGR. doc
اگر کد ماکرو در فایل word فعال باشد، بدافزار تریکبات از URL زیر دانلود میشود. (آدرس برای حفاظت شما سانسور شده است.)
http: // techknowlogix [.] net / farestod.png
Http: // pcstore.com [.] ve / farestod.png
این نوع از تریکبات به ربات اصلی با ID “tt0002” و نسخه شماره 1000147 متصل میشود، که شامل چندین ماژول ارسالی به سیستم قربانی مثل فایل پیکربندی به صورت رمزنگاری شده است.
این ربات به کمک یک سرور COM، در ویندوز قربانی، یک “task” میسازد که میتواند بعد از ریست کردن کامپیوتر، شروع به اجرای پیلود (payload) مربوط به تریکبات از مسیر “AppData \ Roaming \% Client_id%” کند.
تریکبات از API های “GetNativeSystemInfo” یا “wProcessorArchitecture” برای متوجه شدن از اینکه آیا محیط کاری یا CPU 32 بیتی است یا 64 بیتی، استفاده میکند.
در اینجا فایل پیکربندی سرور C&C (سرور تحت مدیریت هکر) که بالاتر به آن اشاره کردیم، نشان داده شده است. این سرورها برای برقراری ارتباط با کامپیوتر آلوده استفاده میشوند.
<Mcconf>
<Ver> 1000000 </ ver>
<Gtag> tt0002 </ gtag>
<Servs>
[C & C: [port]] </ Servs>
<Autorun>
<module name = “systeminfo” ctl = “GetSystemInfo” />
</ Autorun>
</ Mcconf>
در زمان نوشتن این مقاله، بنا بر تحقیقات VirusTotal تنها 17 آنتیویروس از 56 عدد، موفق به کشف این کمپین ایمیل شدند.
چگونه در برابر تروجان های بانکی در امان بمانیم
Trikbot از نظر ویژگیهای تروجانی مخصوص به بانکداری و روشهای متفاوت خود برای سرقت اطلاعات شخصی افراد، بسیار معروف است.
به شما توصیه میکنیم:
- همیشه سیستمعامل و نرمافزارهایتان را بروز نگه دارید، زیرا این دو مورد همیشه به عنوان اولین بخش برای بهرهوری هکرها مورد استفاده قرار میگیرند.
- باز هم به شما توصیه میکنیم که ایمیلهای مشکوک یا فایلها و پیوستهای مشکوک را باز و دانلود نکنید.
- از دادههای مهم در هارد اکسترنال یا فضای ابری (google drive، Dropbox و…) فایل پشتیبان بگیرید (بکآپ).
- رمز عبوری قوی و خوب انتخاب کنید
- سعی کنید نرمافزارهایتان را در اکانتهای غیرادمین اجرا کنید و از خاموش بودن ماکروها در محصولات آفیس، مطمئن شوید.
- از نصب آنتیویروس قابلاطمینان بر روی سیستمتان مطمئن شوید.
- از حفاظت چندلایهای استفاده کنید و از یک نرمافزار امنیت سایبری پیشگیرانه بهره ببرید.
- پیشگیری بهتر از درمان است، بنابراین سعی کنید به خوبی ایمیلهای اسپم را شناسایی کنید. منابع رایگانی درباره امنیت سایبری وجود دارند که میتوانند به شما برای افزایش دانش امنیتی کمک کنند.