عصر اعتبار- انتشارِ یک بدافزار بانکی جدید پرتغالی زبان در برزیل را هدف قرار داده است.
به گزارش پایگاه خبری«عصر اعتبار» به نقل از باشگاه خبرنگاران، انتشارِ یک بدافزار بانکی جدید موجب آلودگی قربانیان پرتغالی زبان در برزیل شده است.در حالی که این بدافزار جاسوسی یک تهدید قدیمی است که به سال 2009 برمیگردد، به گفته شرکتهای امنیتی حملات خود را دوباره از سر گرفته است.
این حملات که توسط محققان شرکت امنیتی "Zscaler" شناسایی شدهاند، اساساً توسط شبکههای اجتماعی و بیشتر فیسبوک منتشر شدهاند و از مهندسی اجتماعی برای جلب نظر کاربران برای کلیک کردن روی پیوند کوتاهشدهی بارگیریِ Bit.ly استفاده میکنند که وعده دریافت اعتبار برای خرید و بارگیری نرمافزاهای باارزش را می دهد. تعدادی از قربانیان نیز از راه بارگیریهای بدون اجازهی کاربر مورد حمله قرار گرفتهاند.
پیوندهای کوتاه شده که در بستر خدمات رایانش ابری گوگل قرار دارند، و پس از انکه از آنجا بارگیری آغاز میشود، بدافزارِ Spy Banker روی سامانهی قربانی نصب میشود. هدف این بدافزار، سرقت اطلاعات بانکیِ قربانی است.
پژوهشگر شرکت امنیتی کسپراسکی فابیو آسولینی (Fabio Assolini) میگوید که استفاده از مهندسی اجتماعی در فیسبوک واقعاً موثر است زیرا که بر اعتماد کاربران بر پیامهای ارسالی از این شبکه اجتماعی تکیه دارد.
گزارش شرکت بدافزاری Zscaler که ابتدای هفته منتشر شده است، مثالی را نشان میدهد که در آن یک پیوندِ کوتاه شدهی bit.ly قربانی را به سمت پروندههای PHP که در خدمات رایانش ابری گوگل قرار دارند هدایت میکند. پروندههای مذکور خود به سمت 302 نقطه دیگر هدایت میشوند تا مرحلهی اول حمله که دریافت پروندهی بارگیریِ بدافزار است را انجام دهند. در این مورد پروندهی اجرایی نشان میدهد که پیوندی به خدمات برخط اظهارنامه مالیاتی فدرال برزیل دارد، اما دیگر پیوندها تظاهر میکنند که اتصال آنها به مواردی نظیر نرمافزارهای ضدبدافزارِ رایگان، شرکت WalMart و واتساپ است.
شرکت بدافزاری Zscaler میگوید که این پیوند bit.ly خاص، از تاریخ 30 نوامبر، بیشتر از 103 هزار بار کلیک شده است و 102 هزار مورد از این کلیکها از طرف کاربران وبگاه فیسبوک بودهاند.
فهرستی از دامنههای آلوده به این بدافزار منتشر شده است. به گفته Zscaler همه این دامنهها به وسیله مرکز ثبت دامنهی GoDaddy حذف شدهاند.
Zscaler میگوید: «باید به این مطلب اشاره کرد که گوگل اکنون کارگزارهای خود را که با وبگاههای فعال ارتباط داشتند، پاکسازی کرده است و در نتیجه آن، این آلودگی با خطای 404 از کار افتاده است.»
این شرکت امنیتی گفته است که بدافزارِ Telax یک پروندهی اجرایی به زبانِ دِلفی است که مشخصات بانکی افراد را سرقت میکند. این بدافزار کدهای مخرب را به فرایندهای اصولی مفسرهای ویژوال بیسیک تزریق میکند، و قبل از اجرا وجود یک ماشین مجازی را در سامانه بررسی میکند.
شرکت Zscaler برخی از قابلیتهای این بدافزار را آشکار کرده است که شامل دستور مسدودسازیِ ماشین مجازی ، دستورات آلوده سازی سامانه، دستورات مربوط به بهروزرسانی سامانه، رهگیریهای نسخه و پورتهای فعال سامانه و … هستند.
هنگامی که این بدافزار یک پروندهی اجرایی را برای ارتباط با کارگزارهای فرماندهی و کنترل نصب میکند، مهاجم قادر خواهد بود تا هر تعداد دستوری که را که برای دریافت اطلاعات سامانه لازم است از طریق ارسال بدافزارهای جدید صادر کند. که به علاوهی اینها میتواند از صفحههای احراز هویت دو عامله استفاده کند تا کاربر را برای وارد کردن اطلاعات حسابهای کاربری خود فریب دهد.
جهت دریافت آخرین اخبار از طریق تلگرام به کانال اختصاصی عصر اعتبار ( https://telegram.me/asretebar ) بپیوندید. برای دریافت آخرین نسخه از نرم افزار تلگرام اینجا را کلیک کنید.