سرقت اطلاعات هویتی کاربران با یک تروجان، آلودگی با سایت های مخرب
به گزارش نقد و بررسی سینما به نقل از مرکز مدیریت راهبردی افتای ریاست جمهوری، مجرمین سایبری، با پنهان سازی رفتار مخرب تروجان Adwind با استفاده از دستورات مجاز جاوا، اطلاعات احراز هویت بانکی، برنامه های تجاری و هرگونه گذرواژه ذخیره شده در یک مرورگر کاربران را به سرقت می برند.
این بدافزار که با اسامی AlienSpy و jRAT نیز شناخته می گردد، می تواند چندین سیستم عامل را هدف قرار دهد و به طور معمول قربانیان را به وسیله ایمیل های فیشینگ، فایل نصبی مخرب نرم افزارها یا وب سایت های مخرب، انتخاب و آلوده می نماید.
نوع جدیدی از این بدافزار اخیرا شناسایی شده که سیستم عامل ویندوز و برنامه های متداول ویندوز از جمله Internet Explorer و Outlook را همراه با مرورگرهای مبتنی بر Chromium، هدف قرار می دهد.
جدیدترین نوع Adwind توسط یک فایل JAR منتقل می گردد و هدف آن در پشت چندین لایه مبهم سازی و رمزگذاری شده واقع شده است که باعث ناکارآمدی تشخیص مبتنی بر امضا می گردد.
هنگامی که بدافزار لیست آدرس های سرور فرمان و کنترل را باز کند، Adwind فعال شده و قادر به دریافت دستورالعمل ها و ارسال اطلاعات سرقت شده از جمله اطلاعات احرازهویت بانکی، برنامه های تجاری و هرگونه گذرواژه ذخیره شده در یک مرورگر، به سرور میزبان است.
در آخرین نسخه Adwind، عملکرد بدافزار با استفاده از دستورات جاوا مخفی می گردد. توسعه دهندگان بدافزار این کار را با مخفی کردن فایل های JAR مخرب در بین تعدادی از برنامه JAR مشروع انجام دادند و با استفاده از رمزگذاری، تشخیص فایل JAR اولیه و بارگذاری فایل های JAR اضافی از یک سرور از راه دور را سخت کردند. تمامی این موارد تشخیص فعالیت غیر طبیعی را سخت می نمایند.
فعالیت مخرب Adwind زمانی قابل شناسایی است که اطلاعات به سرقت رفته در حال ارسال به سرور از راه دور هستند. بدافزار طی این فرایند از دستوراتی غیر از جاوا استفاده می نماید. با این حال، در این مرحله آسیب مورد نظر بدافزار به سرانجام رسیده است.
مجرمین سایبری، گونه ای از تروجان Adwind را بیش از 5 سال برای سرقت اطلاعات احراز هویت، ثبت رخدادهای صفحه کلید، ضبط صدا و سایر اطلاعات مربوط به قربانیان استفاده می کردند.
کارشناسان معاونت آنالیز مرکز افتا می گویند: آنالیز ترافیک وب و ایمیل از راه کارهایی است که می تواند برای شناسایی تروجان Adwind و چنین بدافزارهایی به کار رود.
منبع: خبرگزاری مهر