تروجان‌ بانکی که هر روز خطرناک‌تر می‌شود

لیمور کسام، مشاور بخش امنیت آی‌بی‌ام در بولتن امنیتی ماهانه آی‌بی‌ام نوشت: «ما انتظار داریم کمپین آلوده‌سازی و حملات کلاهبردارانه این بدافزار با قدرت زیادی اجرایی شوند؛ حملاتی که عمدتاً حساب‌های متعلق به کسب‌وکارها و شرکت‌ها را نشانه گرفته‌اند است. TrickBot در سه ماه گذشته و در طول فرایند آزمون و توسعه، مسیر پیشرفت خود را با سرعت زیادی پشت سر گذاشته است. این تروجان مجهز به دو تکنیک فوق‌پیشرفته‌ است که به‌منظور دستکاری و ویرایش مرورگرها استفاده می‌شود. تروجان‌های بانکی در سال‌های گذشته به‌وفور از این تکنیک‌های ویرایشی استفاده کرده‌اند.» 
بررسی‌های بخش X-Force نشان می‌دهد که این بدافزار شباهت بسیار زیادی به بدافزار بانکی Dyre دارد و طیف گسترده‌ای از ویژگی‌ها و کدهایی که در هر دو پلتفرم استفاده شده‌اند، با یکدیگر وجه اشتراک دارند. شواهد این‌گونه نشان می‌دهند که TrickBot با حملاتی که بانک‌های استرالیایی را تحت تأثیر خود قرار داده، در ارتباط است. در این حملات نیز همانند کدهایی که درون بدافزار Dyre استفاد شده‌اند، از طیف گسترده‌ای از تکنیک‌های تزریق کد استفاده شده بود. با این حال، طراحان بدافزار Dyre هم‌اکنون در زندان‌ روسیه دوران محکومیت خود را پشت سر می‌گذارند. 

مطلب پیشنهادی

باج‌افزارها در کمین اطلاعات شخصی شما هستند

در سال ۲۰۱۷ اینترنت ۲۴ ساعت قطع خواهد شد

گروه امنیتی X-Force آی‌بی‌ام اعلام کرده است: «TrickBot خود را با چند ویژگی جدید وفق داده و اهداف جدیدی برای خود پیدا کرده است. از جمله اهداف این بدافزار می‌توان به سایت‌های شخصی و سایت‌های بانکی تجاری مؤسسات مالی در کشورهای انگلستان، نیوزلند، استرالیا، کانادا و آلمان اشاره کرد.» کسام در بخشی از یادداشت خود آورده است: «هکرهایی که در پس‌زمینه طراحی TrickBot بودند، در گام نخست تمرکزشان بر حملات تغییر مسیر و تزریق کد سمت سروری بود که تعدادی از سرورهای متعلق به بانک‌ها از آن‌ها استفاده می‌کردند. اما زمانی که بولتن امنیتی آی‌بی‌ام در ماه نوامبر منتشر شد، مشاهده کردیم که تعدادی از تاکتیک‌های این بدافزار نیز تغییر کرده است و توسعه‌دهندگان این بدافزار دو پیکربندی جدید را در اوایل ماه جاری میلادی برای بدافزار TrickBot پایه‌ریزی کردند.» 
این تغییر تاکتیکی، فراتر از اضافه کردن آدرس‌های اینترنتی به‌منظور پیکربندی بدافزار بود؛ روشی که علیه بانک‌های انگلیسی استفاده شد تا پیاده‌سازی حملات تغییر مسیر سفارشی را امکان‌پذیر سازد، در واقع پیشرفته‌ترین راهکار برای دستکاری فاکتورهایی به شمار می‌رود که کاربر در مرورگر خود قادر به مشاهده آن‌ها است. کسام در بخش دیگری از صحبت‌های خود گفته است: «تروجان TrickBot بر عکس پسرعموی خود Dyre، با راه‌اندازی تبلیغات مخرب، به کارگیری کیت نفوذی RIG، ضمیمه‌های مخرب ایمیلی و نیز ماکروهای آلوده آفیس که از طریق دانلودکننده گودزیلا ارائه می‌شوند، تقویت شده است. این ویژگی‌های منحصربه‌فرد نشان می‌دهند که گروه پشتیبانی‌کننده این بدافزار حساب‌های تجاری خاصی را هدف گرفته‌اند. این گروه هرزنامه‌هایی مشتمل بر بدافزارهای مختلف را برای کمپین‌ها ارسال می‌کنند و به ارسال ساده ایمیل‌های کم‌دردسر رضایت نمی‌دهند.» 
تحلیل‌های گروه امنیتی آی‌بی‌ام نشان می‌دهد که هکرها فرایند پیشرفت و به‌روز شدن این بدافزار را به‌طور مرتب دنبال می‌کنند و تکنیک‌های آلوده‌سازی این تروجان در هر زمانی متفاوت با زمان دیگر است. محتمل‌ترین نظریه‌ای که در زمینه تکامل مستمر این بدافزار می‌توان ارائه کرد، این است که طراحان این بدافزار، شبانه‌روزی در شبکه‌های توزیع‌کننده بدافزار‌ها حضور دارند. این حضور پیوسته نه تنها باعث می‌شود آن‌ها از هرگونه تلاش شرکت‌های امنیتی باخبر باشند، بلکه به آن‌ها اجازه می‌دهد با هکرهای دیگر در تعامل باشند و سطح دانش خود را ارتقا دهند. نمونه‌ای از تروجان TrickBot که گروه امنیتی آی‌بی‌ام آن‌ها را بررسی کرده است، مشتمل بر یک دانلودکننده سفارشی موسوم به TrickLoader بوده است. این دانلودکننده پیش‌تر در روبات هرزنامه‌ای Cutwall هم استفاده شده بود. به عقیده کارشناسان آی‌بی‌ام این دانلود‌کننده همانند دانلودکننده‌ای است که پیش‌تر گروه Dyre در کمپین هرزنامه‌ای خود از آن استفاده کرده بود.