تهدیداتمقالات

کمپین جدید اسپم، بدافزار تریک‌­بات را گسترش می‌دهد و دراپ­‌باکس را جعل می‌کند

نحوه به دست گرفتن کنترل کامپیوتر کاربران به وسیله هکرهای مخرب

بدافزار تریک‌­بات  را به خاطر می‌‌آورید، تروجانی که در سال‌های گذشته تعداد زیادی از کمپانی‌های بانکداری آمریکا مثل پی­‌پال (PayPal) را هدف قرار داد. توسعه‌دهندگان این تروجان در تلاش برای بهبود آن به منظور دستیابی به شیوه‌ای مناسب برای جمع‌آوری اطلاعات کاربران هستند. اخیراً محققین پی برده‌اند که این کمپین هرزنامه‌ای برای هدف‌گیری و جعل دراپ­‌باکس‌ها (Dropbox) اقدام کرده‌اند.

محققین امنیتی، کمپین هرزنامه‌ای جدیدی را که بدافزار تریک‌­بات را گسترش می‌دهد آنالیز کرده‌اند، این کمپین به این صورت است که گویا بدافزار تریک‌­بات از سایت قانونی دراپ­‌باکس دانلود می‌شود و بی‌خطر است، اما این‌گونه نیست بلکه از سایتی مشابه با دراپ­‌باکس دریافت می‌شود.

در زیر به جزئیات این ایمیل‌ها اشاره شده است (آدرس‌ها برای امنیت شما سانسور شده‌اند.)

[box type=”shadow” align=”” class=”” width=””]از: no-reply @ dropboxsec [.] Com» Dropb‌ox»

موضوع: پوشه‌ای (سند) جدید برای دانلود کردن آماده است.

محتویات: سلام، رئیس شرکت شما یک فایل امنیتی را برای استفاده شما و یا شرکتتان آپلود کرده است.

ID شما: [آدرس ایمیل] کلید دانلود منحصر بفرد شما: ۶M4V74YEVMDHGR اعداد و شماره‌هایی که دریافت می‌کنید، ID ای منحصربه‌فرد برای سندی است که دریافت می‌کنید. برای تماشا یا پرینت سند مربوطه، بر روی این لینک کلیک کنید. [لینک به سایتی مشابه با سایت دراپ باکس] سند با ID شما باز می‌شود. اکنون می‌توانید بر روی سند مربوطه، بسته به نوع دسترسی‌تان عملیاتی مثل دانلود، ذخیره یا پرینت انجام دهید.

برای اطلاعات بیشتر با مدیریت تماس بگیرید.

با تشکر تیم دراپ باکس.[/box]

نحوه ایجاد آلودگی

اگر شخصی فریب این نوشته‌ها را بخورد و بر روی این لینک مخرب کلیک کند، فایلی آلوده همراه با آدرس زیر به او ارسال می‌شود:

https: [//] dropbo‌xsec [.] net / 6M4V74YEVMDHGR. doc

اگر کد ماکرو در فایل word فعال باشد، بدافزار تریک­بات از URL زیر دانلود می‌شود. (آدرس برای حفاظت شما سانسور شده است.)

http: // techknowlogix [.] net / farestod.png
Http: // pcstore.com [.] ve / farestod.png

این نوع از تریک­بات به ربات اصلی با ID “tt0002” و نسخه شماره ۱۰۰۰۱۴۷ متصل می‌شود، که شامل چندین ماژول ارسالی به سیستم قربانی مثل فایل پیکربندی به صورت رمزنگاری شده است.

این ربات به کمک یک سرور COM، در ویندوز قربانی، یک “task” می‌سازد که می‌تواند بعد از ریست کردن کامپیوتر، شروع به اجرای پی­لود (payload) مربوط به تریک­بات از مسیر “AppData \ Roaming \% Client_id%” کند.

تریک­بات از API های “GetNativeSystemInfo” یا “wProcessorArchitecture” برای متوجه شدن از اینکه آیا محیط کاری یا CPU 32 بیتی است یا ۶۴ بیتی، استفاده می‌کند.

در اینجا فایل پیکربندی سرور C&C (سرور تحت مدیریت هکر) که بالاتر به آن اشاره کردیم، نشان داده شده است. این سرورها برای برقراری ارتباط با کامپیوتر آلوده استفاده می‌شوند.

<Mcconf>
<Ver> 1000000 </ ver>
<Gtag> tt0002 </ gtag>
<Servs>
[C & C: [port]] </ Servs>
<Autorun>
<module name = “systeminfo” ctl = “GetSystemInfo” />
</ Autorun>
</ Mcconf>

در زمان نوشتن این مقاله، بنا بر تحقیقات VirusTotal تنها ۱۷ آنتی‌ویروس از ۵۶ عدد، موفق به کشف این کمپین ایمیل شدند.

بدافزار تریک‌­بات

چگونه در برابر تروجان های بانکی در امان بمانیم

Trikbot از نظر ویژگی‌های تروجانی مخصوص به بانکداری و روش‌های متفاوت خود برای سرقت اطلاعات شخصی افراد، بسیار معروف است.

به شما توصیه می‌کنیم:

  • همیشه سیستم‌عامل و نرم‌افزارهایتان را بروز نگه دارید، زیرا این دو مورد همیشه به عنوان اولین بخش برای بهره‌وری هکرها مورد استفاده قرار می‌گیرند.
  • باز هم به شما توصیه می‌کنیم که ایمیل‌های مشکوک یا فایل‌ها و پیوست‌های مشکوک را باز و دانلود نکنید.
  • از داده‌های مهم در هارد اکسترنال یا فضای ابری (google drive، Dropb‌ox و…) فایل پشتیبان بگیرید (بک‌آپ).
  • رمز عبوری قوی و خوب انتخاب کنید
  • سعی کنید نرم‌افزارهایتان را در اکانت­های غیرادمین اجرا کنید و از خاموش بودن ماکروها در محصولات آفیس، مطمئن شوید.
  • از نصب آنتی‌ویروس قابل‌اطمینان بر روی سیستمتان مطمئن شوید.
  • از حفاظت چندلایه‌ای استفاده کنید و از یک نرم‌افزار امنیت سایبری پیشگیرانه بهره ببرید.
  • پیشگیری بهتر از درمان است، بنابراین سعی کنید به خوبی ایمیل‌های اسپم را شناسایی کنید. منابع رایگانی درباره امنیت سایبری وجود دارند که می‌توانند به شما برای افزایش دانش امنیتی کمک کنند.
نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

13 − هشت =

دکمه بازگشت به بالا