بدافزار جديد بانکی
دو شنبه
15 دي 1393
بدافزارهای بانکی ابزارهای موفقی برای مجرمان سایبری و نفوذگران بودهاند تا آنان بتوانند مبالغ هنگفتی از حسابهای بانکی کاربران ناآگاه و بی احتیاط سرقت کنند. بدافزارهایی نظیر Zeus و Carberp نمونههای زنده و واقعی از این نوع بدافزارها هستند که در چند سال گذشته همواره فعال بوده و علیرغم تلاش بانکها و ارگانهای دولتی و امنیتی، توانستهاند همچنان به فعالیتهای مخرب خود ادامه دهند.
اکنون نیز بدافزار جدیدی به این گروه افزوده شده که به خاطر شیوه خاص بدافزار در به دست آوردن مجوز دسترسی کاربر به سایتهای بانکداری الکترونیکی، برای خود شهرت کسب کرده است. بدافزار Dyreza قادر است با هدایت و عبور دادن ترافیک بین کاربر و سایت بانکداری از طریق مرکز کنترل و فرماندهی خود، رمزگذاری SSL این ترافیک را دور بزند. به این روش Browser Hooking گفته میشود.
بدافزار Dyreza یا Dyre برای اولین بار توسط شرکت امنیتی CSIS کشف و شناسایی شد. فعالیت عمده این بدافزار در کشورهای اروپایی و آمریکا است و بانکهای بین المللی و مشهوری نظیر Ulster Bank ،NatWest ، Royal Bank of Scotland و Bank of America را هدف قرار داده است. اخیراً نیز گزارشهایی درباره سیستم های آلوده به Dyreza که از سرویسهای آنلاین بازاریابی و فروش شرکت Salesforce.com استفاده میکنند، دریافت شده است.
بدافزار Dyreza از طریق ایمیلهای ناخواسته یا هرزنامه (Spam) منتشر میشود. با باز و اجرا کردن فایل آلوده که به این هرزنامهها پیوست شده، کامپیوتر کاربر آلوده به بدافزار Dyreza میشود. سپس بدافزار با مرکز کنترل خود ارتباط برقرار میکند. پس از آن، بدافزار گوش به زنگ میماند تا کاربر به سایتهای بانکی مراجعه کند و در صورتیکه بانک مورد استفاده کاربر در گروه بانکهایی باشد که برای بدافزار Dyreza قابل سوء استفاده است، بدافزار وارد میدان میشود.
فایلهای آلوده پیوست که توسط هرزنامهها منتشر میشوند، اغلب از نوع فایل PDF هستند و یا بصورت فایل ZIP که حاوی فایل PDF آلوده میباشند. نام فایل PDF حاوی بدافزار اکثراً invoice 621786 است. موضوع ایمیلهای ارسالی نیر اغلب درباره صورتحساب پرداخت نشده (Unpaid Invoic) است. کلمه انگلیسی invoice غلط دیکتهای دارد و به صورت invoic نوشته شده است.
بدافزار Dyreza از نقاط ضعف خاصی در نرم افزار Adobe Acrobat و Adobe Reader سوء استفاده میکند تا قادر به نصب و فعال سازی خود بر روی کامپیوتر قربانی باشد.
در روش Browser Hooking بدافزار در بین کاربر و سایت بانک قرار میگیرد و قبل از اینکه اطلاعات ارسالی کاربر رمزگذاری شده و با پودمان امن SSL به سایت بانک ارسال شود، بدافزار ترافیک را در اختیار گرفته و آنرا به سمت سرور کنترل و فرماندهی بدافزار هدایت میکند. کاربر هیچگاه متوجه این اتفاق نمیشود و در ظاهر هم هیچ تغییری در مرورگر خود نخواهد دید. کاربر همچنان مشاهده و باور خواهد کرد که مرورگر او با پودمان امن https با سایت بانک در ارتباط میباشد.
بدافزار Dyreza قادر است روش مخرب Browser Hooking را بر روی مرورگرهای Firefox، Chrome و Internet Explorer به اجرا در آورد.
در اخبار، گزارشها و مقالات منتشر شده درباره بدافزار Dyreza هیچ اشارهای به ارتباط بدافزار یا نویسندگان و گردانندگان بدافزار با ایران یا افراد ایرانی نشده است. شاید نام بدافزار که می تواند بصورت “دائی رضا” خوانده شود یا وجود کلمه Reza در قسمتی از نام بدافزار، باعث شده تا توجه خاصی به این بدافزار در کشور ایجاد شود.
پیش از انتشار اخبار و جزئیات بدافزار Dyreza توسط شرکت CSIS اغلب ضد بدافزارهای رایج دنیا قادر به شناسایی این بدافزار بودهاند. در نتیجه به روز نگه داشتن ضدویروس و همچنین نصب اصلاحیههای امنیتی و به روز کردن سیستم عامل، مرورگر و نرم افزارهای کاربردی رایج (نظیر Adobe Reader/Acrobat) میتواند مانع از فعالیت و آلودگی بدافزارهایی نظیر Dyreza شود.
منبع خبر:
2
محصولات و خدمات