نسخه‌ی جدیدِ تروجان بانکی زئوس با امضای دیجیتال معتبر

تمامی نسخه‌های ویندوزی در سراسر جهان طوری تنظیم شده‌اند که تمامی برنامه‌هایی که با گواهی‌نامه‌های دیجیتال همراه با امضای مایکروسافت را قبول می‌کنند و بدافزاری که با چنین امضایی در حال گسترش است، یک خطر بسیار جدی به شمار می‌رود.

مجرمان سایبری با آگاهی از چنین ضعفی، سعی می‌کنند برنامه‌های اجرایی خود را به یک گواهی‌نامه‌ی معتبر امضا کنند تا کاربران و مدیران سامانه به مخرب بودن چنین برنامه‌ای شک نکنند و هم‌چنین ابزارهای ضدبدافزاری نتوانند تشخیص دهند که این برنامه یک برنامه‌ی مخرب است.

بدافزار‌ها با امضای دیجیتال، در سال گذشته افزایش چشم‌گیری پیدا کردند و مطابق گزارش‌ها، نزدیک به 200 هزار قطعه کد اجرایی مخرب، با استفاده از همین ترفند در 2 سال گذشته کشف شده است.

یکی از کاربران محصول ضدبدافزاری Comodo، نمونه‌ بدافزار مخربی را به آزمایشگاه این محصول ارسال کرده که سعی می‌کند خود را به عنوان پرونده‌ی مربوط به مرورگر اینترنت اکسپلورر، نشان دهد و دارای امضای معتبری به نام «isonet ag» می‌باشد.        
 

به محض اجرای این قطعه برنامه، پرونده‌ی اجرایی در رایانه‌ی قربانی نصب می‌شود و توسط بدافزار‌ها شناسایی نخواهد شد و سپس این قطعه برنامه سعی می‌کند تا یک مولفه‌ی روت‌کیت را از آدرس‌های زیر بارگیری کند:

    lovestogarden.com/images/general/TARGT.tpl
    villaveronica.it/images/general/TARGT.tpl

بدافزار زئوس، یکی از قدیمی‌ترین بدافزار‌های مالی می‌باشد، اما نسخه‌ی جدید این بدافزار بسیار خطرناک است و می‌تواند از طریق یک راه قانونی وارد سامانه‌ی کاربر شود و تدابیر امنیتی این سامانه را دور بزند.

آزمایشگاه ضدبدافزار Comodo توانسته است نزدیک به 200 مورد از این نسخه‌ی جدید را که از طریق وب‌گاه‌های آلوده و هم‌چنین حملات فیشینگ از طریق رایانامه منتشر شده‌اند را، شناسایی کند.

بدافزار زئوس معمولاً از طریق حملات مرد میانی به مهاجم اجازه می‌دهد جلسات کاربر را سرقت برود و یک جلسه‌ی از راه دور با مدیریت مهاجم ایجاد شود که می‌تواند در فعالیت‌های قربانی تداخل ایجاد کند.

اگر قربانی به یک وب‌گاه برخط بانکی برای انجام یک تراکنش مالی مراجعه کند، ممکن است همه چی بسیار عادی به نظر برسد، اما مهاجم از طریق سرقت جلسه‌ی مربوط به وب‌گاه بانک، مبالغ را به حساب دیگری انتقال دهد و حتی مبالغ انتقال را تغییر دهد.

به طور کلی سه مولفه‌ی اصلی در نسخه‌های مختلف بدافزار زئوس مشاده شده است:

مولفه‌ی بارگیری: به محض این‌که قطعه کد اولیه‌ی بدافزار از طریق سوء‌استفاده از آسیب‌پذیری‌های مختلف و یا حملات فیشینگ رایانامه در سامانه‌ی قربانی نصب شود، مولفه‌ی بارگیر یک قطعه‌ی بدافزاری و یک قطعه‌ی روت‌کیت را بارگیری خواهد کرد.

مولفه‌ی بدافزاری: این مولفه یک قطعه‌ی سارق اطلاعات کاربر است که اطلاعات مهم کاربر از جمله اطلاعات محرمانه‌ی حساب‌های کاربری،‌ اطلاعات کارت اعتباری و سایر اطلاعات حساس را به سرقت می‌برد.

مولفه‌ی روت‌کیت: این مولفه وظیفه دارد تا بدافزار را به نحوی در سامانه پنهان کند که توسط محصولات ضدبدافزاری و سایر تجهیزات امنیتیِ سامانه شناسایی نشود. این مولفه قطعه‌ی رمز‌شده‌ای را در بخش «Boot Bus Extender» نصب می‌کند و به این ترتیب در هر گرداننده‌‌ای بارگذاری می‌شود و هم‌چنین حذف این قطعه را مشکل می‌کند.

 

به کاربران توصیه می‌شود از باز کردن پرونده‌هایی که از طریق رایانامه‌های مشکوک به دست آن‌ها می‌رسد، خودداری نمایند و هم‌چنین تجیهزات نرم‌افزاریِ سامانه‌ی خود را برای امنیت بیش‌تر پیکربندی کنند، به طور مثال دیواره‌ی آتش با بیشینه‌ی حساسیت و به‌روز نگه داشتن محصولات ضدبدافزاری از جمله ساده‌ترین کارهایی است که کاربران برای در امان ماندن از بدافزار‌ها می‌توانند انجام دهند.

منبع:وبگاه فناوری اطلاعات سازمان انرژی اتمی