محققان امنیتی هشدار می دهند یک تروجان جدید که کاربران خدمات مالی
آنلاین را هدف قرار داده است، این پتانسل را دارد که تا چند ماه آینده به
سرعت گسترش یابد.
به گزارش سافتگذر به نقل از فن آوری اطلاعات ایران، بدافزار Neverquest بسیاری از قابلیتهای بدافزارهای مالی دیگر را
دارا میباشد. این بدافزار میتواند محتوی وب سایتهایی که توسط IE یا
فایرفاکس باز شدهاند را تغییر داده و فرمهای جعلی را به آن ها تزریق
نماید.
سپس میتواند نامهای کاربری و رمز عبوری که در این وب سایتها توسط
قربانی وارد میشود را به سرقت برده و به مهاجمان اجازه دهد تا از راه دور و
با استفاده از VNC کنترل سیستمهای آلوده را در اختیار بگیرند.
در پیکربندی پیش فرض این تروجان، ۲۸ وب سایت هدفمند که متعلق به
بانکهای بینالمللی بزرگ و خدمات عمومی پرداخت آنلاین میباشند، تعریف شده
است. با این حال، علاوه بر این وب سایتها، این بدافزار قادر است تا صفحات
وبی که کاربر مشاهده میکند و حاوی کلمات خاص مانند balance، checking
account و account summary میباشد را شناسایی نموده و محتوی آن را برای
مهاجم ارسال نماید. این روش به مهاجمان کمک میکند تا وب سایتهای مالی
جدید را شناسایی نمایند.
پس از آنکه مهاجم اطلاعات لازم در خصوص حساب کاربری کاربر بر روی یک وب
سایت را در اختیار گرفت، برای اتصال به کامپیوتر کاربر از طریق VNC از یک
سرور پروکسی استفاده میکند و به طور مستقیم به حساب کاربری دسترسی
مییابد. در این مسیر مهاجم باید مکانیزمهای حفاظتی حساب کاربری را دور
بزند زیرا عملیات انتقال پول از طریق مرورگر قربانی انجام میشود.
روشهایی که برای توزیع Neverquest استفاده میشود شبیه به روشهایی است
که برای توزیع کلاینت بات نت Bredolab به کار برده میشود. بات نت
Bredolab معروفترین و گسترده ترین بدافزار سال ۲۰۱۰ میباشد.
بدافزار Neverquest اعتبارنامههای ورود به حساب را از روی کلاینت FTP
برنامههای نصب شده بر روی رایانههای آلوده به سرقت میبرد. سپس مهاجمان
برای آلوده کردن وب سایتها به بسته کد سوءاستفاده Neutrino از این
اعتبارنامههای FTP استفاده میکنند و بدین وسیله از آسیب پذیری موجود در
پلاگین مرورگر سوءاستفاده کرده تا بدافزار Neverquest را بر روی رایانه
هدف نصب نمایند.
هم چنین این برنامه تروجان میتواند اعتبارنامههای SMTP و POP را از
کلاینتهای ایمیل به سرقت ببرد و برای مهاجمان ارسال کند. بنابراین مهاجمان
میتوانند با استفاده از این اعتبارنامهها، ایمیلهای هرزنامهای حاوی
الصاقات مخرب را برای کاربر ارسال نمایند. این ایمیلها بسیار شبیه
اطلاعیههای رسمی از برخی ارائه دهندگان خدمات طراحی شده است.
انتظار میرود تا پایان سال حملات گسترده این بدافزار مشاهده شود به
گونهای که بسیاری از کاربران خدمات مالی آنلاین، قربانی این تروجان شوند.