تروجان ‘Neverquest’، کاربران بانکی را تهدید می کند

کد خبر: ۶۵۹۰۲

در آذر 10, 1392 0

محققان امنیتی هشدار می دهند یک تروجان جدید که کاربران خدمات مالی آنلاین را هدف قرار داده است، این پتانسل را دارد که تا چند ماه آینده به سرعت گسترش یابد.

تروجان ‘Neverquest’، کاربران بانکی را تهدید می کند

به گزارش پایگاه خبری بانکداری الکترونیک،به نقل از مرکز ماهر بدافزار Neverquest بسیاری از قابلیت‌های بدافزارهای مالی دیگر را دارا است. این بدافزار می‌تواند محتوی وب سایت‌هایی که توسط IE یا فایرفاکس باز شده‌اند را تغییر داده و فرم‌های جعلی را به آن ها تزریق نماید. سپس می‌تواند نامهای کاربری و رمز عبوری که در این وب سایت‌ها توسط قربانی وارد می‌شود را به سرقت برده و به مهاجمان اجازه دهد تا از راه دور و با استفاده از VNC کنترل سیستم‌های آلوده را در اختیار بگیرند.

در پیکربندی پیش فرض این تروجان، 28 وب سایت هدفمند که متعلق به بانک‌های بین‌المللی بزرگ و خدمات عمومی پرداخت آنلاین است، تعریف شده است. با این حال، علاوه بر این وب سایت‌ها، این بدافزار قادر است تا صفحات وبی که کاربر مشاهده می‌کند و حاوی کلمات خاص مانند balance، checking account و account summary می‌باشد را شناسایی نموده و محتوی آن را برای مهاجم ارسال نماید. این روش به مهاجمان کمک می‌کند تا وب سایت‌های مالی جدید را شناسایی نمایند.

پس از آنکه مهاجم اطلاعات لازم در خصوص حساب کاربری کاربر بر روی یک وب سایت را در اختیار گرفت، برای اتصال به کامپیوتر کاربر از طریق VNC از یک سرور پروکسی استفاده می‌کند و به طور مستقیم به حساب کاربری دسترسی می‌یابد. در این مسیر مهاجم باید مکانیزم‌های حفاظتی حساب کاربری را دور بزند زیرا عملیات انتقال پول از طریق مرورگر قربانی انجام می‌شود.

روش‌هایی که برای توزیع Neverquest استفاده می‌شود شبیه به روش‌هایی است که برای توزیع کلاینت بات نت Bredolab به کار برده می‌شود. بات نت Bredolab معروفترین و گسترده ترین بدافزار سال 2010 است.

بدافزار Neverquest اعتبارنامه‌های ورود به حساب را از روی کلاینت FTP برنامه‌های نصب شده بر روی رایانه‌های آلوده به سرقت می‌برد. سپس مهاجمان برای آلوده کردن وب سایت‌ها به بسته کد سوء‌استفاده Neutrino از این اعتبارنامه‌های FTP استفاده می‌کنند و بدین وسیله از آسیب‌پذیری موجود در پلاگین مرورگر سوء‌استفاده کرده تا بدافزار Neverquest را بر روی رایانه هدف نصب نمایند.

هم چنین این برنامه تروجان می‌تواند اعتبارنامه‌های SMTP و POP را از کلاینت‌های ایمیل به سرقت ببرد و برای مهاجمان ارسال کند. بنابراین مهاجمان می‌توانند با استفاده از این اعتبارنامه‌ها، ایمیل‌های هرزنامه‌ای حاوی الصاقات مخرب را برای کاربر ارسال نمایند. این ایمیل‌ها بسیار شبیه اطلاعیه‌های رسمی از برخی ارائه دهندگان خدمات طراحی شده است.

انتظار می‌رود تا پایان سال حملات گسترده این بدافزار مشاهده شود به گونه‌ای که بسیاری از کاربران خدمات مالی آنلاین، قربانی این تروجان شوند.

لینک کوتاهلینک کپی شد!