Trend Micro: شناسایی یک تروجان Fileless که بانک‌های برزیل و تایوان را هدف قرار داده است

شرکت Trend Micro به تازگی یک بد‌افزار بدون فایل (Fileless) را شناسایی کرده است که اعتبار بانکی آنلاین کاربران را با کنترل از راه دور از طریق دسترسی به دستگاه‌های آن‌ها به سرقت می‌برد. علاوه بر این، این بد‌افزار داده‌های حساب ایمیل را نیز می‌دزدد. هکرهای سازنده بد‌افزار بعد از نفوذ به دستگاه‌ها، یک ابزار هک به نام RADMIN را بر روی آن‌ها نصب می‌کنند. بدافزار مذکور مشتریان بانک‌های بزرگ برزیل و تایوان را هدف قرار داده است.

معمولاً مهاجمان از بد‌افزار بدون‌ فایل برای دسترسی به دیوایس‌ها بهره می‌برند، بدون اینکه رد یا نشانی از فعالیت‌های خرابکارانه آن‌ها به جا بماند. این بد‌افزار فایل‌های قابل اجرایی را که از قبل در برنامه‌هایی مانند mshta.exe وجود داشته‌اند، مورد استفاده قرار می‌دهد. به علاوه، این بد‌افزار به‌طور معمول از پاورشل Powershell استفاده می‌کند.

ضمیمه‌ BAT. که قادر به باز کردن IP آدرس، دانلود پاورشل با استفاده از یک تروجان بانکی و نصب یک ابزار هک و در نهایت سرقت اطلاعات است، در بانک‌های تایوان و برزیل به میزان قابل توجهی مورد استفاده قرار گرفته می‌شود، و در نتیجه این بانک‌ها هدف مناسبی برای هکر‌ها خواهند بود. بعد از دانلود پاورشل که محتوی تروجان بانکی است، ابزاری به نام RADMIN در دستگاه نصب می‌شود که در نهایت داده‌های کاربر را به سرقت می‌برد. این بد‌افزار همچنین کلیه فعالیت‌های بانکی قربانیان را نیز زیر نظر می‌گیرد. Trend Micro حین تجزیه و تحلیل جزییات مربوط به این بد‌افزار، هیچگونه نشانی از سرقت اطلاعات شناسایی نکرده است.

به محض ورود بد‌افزار به دستگاه، یک کد پاورشل دانلود و اجرا خواهد شد، در مرحله بعد با اتصال به URLها، فایل‌ها را استخراج کرده و نام آن‌ها را تغییر می‌دهد. فایل تغییر نام یافته همچنان به صورت یک فایل واقعی و قابل اجرا نمایش داده می‌شود.

این بد‌افزار بدون فایل با نصب ابزار هک روی دستگاه کاربر، تروجان دیگری به نام TrojanSpy.Win32.BANRAP را اجرا می‌کند. این تروجان Outlook را باز و اطلاعات را استخراج می‌کند، سپس داده را به سرور ارسال می‌کند. فولدر RDP Wrapper نصب شده توسط RADMIN به هکر امکان می‌دهد که به سیستم دسترسی پیدا کرده و فعالیت کاربر را مخفی کند. با ریبوت کردن سیستم، فایل‌های تازه نصب شده پاک شده و LNK. مخرب جایگزین آن‌ها خواهد شد.

 

 

خروج از نسخه موبایل