شرکت Trend Micro به تازگی یک بدافزار بدون فایل (Fileless) را شناسایی کرده است که اعتبار بانکی آنلاین کاربران را با کنترل از راه دور از طریق دسترسی به دستگاههای آنها به سرقت میبرد. علاوه بر این، این بدافزار دادههای حساب ایمیل را نیز میدزدد. هکرهای سازنده بدافزار بعد از نفوذ به دستگاهها، یک ابزار هک به نام RADMIN را بر روی آنها نصب میکنند. بدافزار مذکور مشتریان بانکهای بزرگ برزیل و تایوان را هدف قرار داده است.
معمولاً مهاجمان از بدافزار بدون فایل برای دسترسی به دیوایسها بهره میبرند، بدون اینکه رد یا نشانی از فعالیتهای خرابکارانه آنها به جا بماند. این بدافزار فایلهای قابل اجرایی را که از قبل در برنامههایی مانند mshta.exe وجود داشتهاند، مورد استفاده قرار میدهد. به علاوه، این بدافزار بهطور معمول از پاورشل Powershell استفاده میکند.
ضمیمه BAT. که قادر به باز کردن IP آدرس، دانلود پاورشل با استفاده از یک تروجان بانکی و نصب یک ابزار هک و در نهایت سرقت اطلاعات است، در بانکهای تایوان و برزیل به میزان قابل توجهی مورد استفاده قرار گرفته میشود، و در نتیجه این بانکها هدف مناسبی برای هکرها خواهند بود. بعد از دانلود پاورشل که محتوی تروجان بانکی است، ابزاری به نام RADMIN در دستگاه نصب میشود که در نهایت دادههای کاربر را به سرقت میبرد. این بدافزار همچنین کلیه فعالیتهای بانکی قربانیان را نیز زیر نظر میگیرد. Trend Micro حین تجزیه و تحلیل جزییات مربوط به این بدافزار، هیچگونه نشانی از سرقت اطلاعات شناسایی نکرده است.
به محض ورود بدافزار به دستگاه، یک کد پاورشل دانلود و اجرا خواهد شد، در مرحله بعد با اتصال به URLها، فایلها را استخراج کرده و نام آنها را تغییر میدهد. فایل تغییر نام یافته همچنان به صورت یک فایل واقعی و قابل اجرا نمایش داده میشود.
این بدافزار بدون فایل با نصب ابزار هک روی دستگاه کاربر، تروجان دیگری به نام TrojanSpy.Win32.BANRAP را اجرا میکند. این تروجان Outlook را باز و اطلاعات را استخراج میکند، سپس داده را به سرور ارسال میکند. فولدر RDP Wrapper نصب شده توسط RADMIN به هکر امکان میدهد که به سیستم دسترسی پیدا کرده و فعالیت کاربر را مخفی کند. با ریبوت کردن سیستم، فایلهای تازه نصب شده پاک شده و LNK. مخرب جایگزین آنها خواهد شد.