شما عضو این انجمن نبوده یا وارد نشده اید. لطفا برای مشاهده کامل انجمن و استفاده از آن وارد شوید یا ثبت نام کنید .

امتیاز موضوع:
  • 45 رأی - میانگین امتیازات: 2.82
  • 1
  • 2
  • 3
  • 4
  • 5

[-]
کلمات کلیدی
بدافزار خبرهایی یک بانکی انتشار vmware تروجان سیسکو از

خبرهایی از انتشار یک بدافزار بانکی
#1
یک بدافزار بانکی از باینری VMware قانونی برای انتشار تروجان بانکی در بین کاربران برزیلی استفاده می‌کند و برای این کار سعی می‌کند قربانیان را متقاعد سازد که یک پیوست مخرب را باز کنند.

محققان سیسکو یک کمپین بدافزاری را شناسایی کرده‌اند که از باینری VMware  قانونی برای انتشار تروجان بانکی استفاده می‌کند. عاملان این کمپین برای اینکه ناشناس بمانند، از روش‌های متعددی برای آلوده‌سازی دستگاه‌های قربانیان استفاده و چندین روش ضد تجزیه و تحلیل را نیز پیاده‌سازی کرده‌اند. این بدافزار در محیط Delphi که به تازگی برای تروجان‌های بانکی استفاده می‌شود، نوشته شده است.

این کمپین به طور عمده کاربران برزیلی را هدف قرار می‌دهد. مهاجمان از هرزنامه‌های (spam) مخربی استفاده می‌کنند که حاوی پیام‌هایی به زبان پرتغالی است و سعی می‌کند قربانی را متقاعد سازد که یک پیوست HTML مخرب را که به صورت صورت‌حساب نمایش داده می‌شود، باز کند. دریافت پست الکترونیکی به زبان مادری باعث می‌شود تا مهاجمان با احتمال بیشتری به هدف خود برسند.

فایل HTML، شامل یک آدرس اینترنتی است که ابتدا به آدرس goo.gl و سپس به یک آرشیو RAR حاوی یک فایل JAR هدایت می‌شود. اگر کاربر دو بار روی فایل JAR کلیک کند، جاوا کد مخربی را اجرا و شروع به نصب تروجان بانکی خواهد کرد. کد جاوا ابتدا محیط کاری بدافزار را راه‌اندازی می‌کند، سپس فایل‌های اضافی را از یک کارگزار از راه ‌دور دانلود می‌کند.

هنگامی که باینری‌ها توسط کد جاوا دانلود شدند، نام آن‌ها به باینری قانونی VMware  تغییر داده می‌شود و این باینری قانونی را VMware اجرا می‌کند. بدین ترتیب برنامه‌های امنیتی فکر می‌کنند که VMware کتابخانه‌های قابل اعتمادی را استفاده کرده است. یکی از این کتابخانه‌ها، فایل مخربی به نام vmwarebase.dll است که برای تزریق و اجرای کد در Explore.exe و notpad.exe  استفاده می‌شود. ماژول اصلی (کد برنامه‌نویسی‌شده) این تروجان بانکی برای پایان‌دادن به فرایندهای ابزار تجزیه و تحلیل و ایجاد کلید رجیستری خودکار، طراحی شده است.

این ماژول همچنین می‌تواند عنوان پنجره‌ی پیش‌زمینه‌ی کاربر را به دست آورد؛ بنابراین می‌تواند هر یک از پنجره‌های مربوط به مؤسسه‌ی مالی هدف واقع در برزیل را شناسایی کند. باینری دیگری که این ماژول بارگذاری می‌کند، با استفاده از Themida بسته‌بندی شده است. این امر تجزیه و تحلیل باینری را بسیار دشوار می‌سازد. همچنین مشاهده شده است که هر بار که عملی بر روی سیستم آلوده انجام می‌شود، این بدافزار رشته‌های خاصی را به کارگزار کنترل و فرمان، ارسال می‌کند.

سود مالی انگیزه‌ی بزرگی برای مهاجمان است و به همین دلیل، بدافزارها در حال تکامل هستند. استفاده از بسترهای بسته‌بندی تجاری مانند Themida، تجزیه و تحلیل را برای تحلیل‌گران دشوار می‌سازد و نشان می‌دهد که برخی از مهاجمان مایل هستند این بسته‌بندهای تجاری را به‌دست آورند تا مانع از تحلیل شوند.

پاسخ
 سپاس شده توسط saberi ، ms.khassi ، mesterweb ، shahram20 ، hoboot


موضوع‌های مشابه…
موضوع نویسنده پاسخ بازدید آخرین ارسال
  انتشار بدافزار Prowli ، مراقب ارز دیجیتالی Monero باشید farnaz 1 2,632 ۰۱/۴/۱۱، ۰۵:۲۰ عصر
آخرین ارسال: Canizales41
  بدافزار پیشرفته جاسوسی InvisiMole برای عبور از فایروال ویندوز و هک اطل hoboot 0 2,099 ۹۷/۳/۲۲، ۰۳:۴۷ صبح
آخرین ارسال: hoboot
  انتشار دو بدافزار مخرب جدید از گروه APT کشور کره شمالی hoboot 0 2,216 ۹۷/۳/۲۲، ۰۳:۳۶ صبح
آخرین ارسال: hoboot
  هشدار فوری درباره بدافزار VPNFilter saberi 0 1,370 ۹۷/۳/۷، ۰۵:۳۸ عصر
آخرین ارسال: saberi
  بدافزار ZooPark در کمین کاربران اندروید saberi 0 1,497 ۹۷/۲/۲۶، ۰۵:۳۲ صبح
آخرین ارسال: saberi
  انتشار باج‌افزارهایی از نوع زئوس (Zeus) در بین کاربران ایرانی تلگرا saberi 0 1,510 ۹۷/۲/۲۶، ۰۴:۵۲ صبح
آخرین ارسال: saberi
  بدافزار ZooPark از کاربران خاورمیانه تلگرام و واتس اپ از جمله ایرانی soraya 0 1,801 ۹۷/۲/۱۷، ۰۷:۴۶ عصر
آخرین ارسال: soraya
  بدافزار جدیدی که تماس ها را مخفیانه ضبط می کند hoboot 1 1,919 ۹۷/۲/۲، ۱۲:۲۴ عصر
آخرین ارسال: KGasht
  گسترش بدافزار بانکی اندروید از طریق ربودن DNS مودم hoboot 0 1,936 ۹۷/۱/۳۱، ۰۶:۵۶ صبح
آخرین ارسال: hoboot
  رشد سریع بدافزار استخراج مجازی به نام Dofil mesterweb 0 1,707 ۹۷/۱/۲۵، ۰۲:۱۰ صبح
آخرین ارسال: mesterweb

پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 1 مهمان