خبرهایی از انتشار یک بدافزار بانکی
تاریخ انتشار: ۱ آبان ۱۳۹۶ | کد خبر: ۱۵۱۹۴۲۲۳
یک بدافزار بانکی از باینری VMware قانونی برای انتشار تروجان بانکی در بین کاربران برزیلی استفاده میکند و برای این کار سعی میکند قربانیان را متقاعد سازد که یک پیوست مخرب را باز کنند.
به گزارش ایسنا، محققان سیسکو یک کمپین بدافزاری را شناسایی کردهاند که از باینری VMware قانونی برای انتشار تروجان بانکی استفاده میکند.
بیشتر بخوانید:
اخباری که در وبسایت منتشر نمیشوند!
این کمپین به طور عمده کاربران برزیلی را هدف قرار میدهد. مهاجمان از هرزنامههای (spam) مخربی استفاده میکنند که حاوی پیامهایی به زبان پرتغالی است و سعی میکند قربانی را متقاعد سازد که یک پیوست HTML مخرب را که به صورت صورتحساب نمایش داده میشود، باز کند. دریافت پست الکترونیکی به زبان مادری باعث میشود تا مهاجمان با احتمال بیشتری به هدف خود برسند.
فایل HTML، شامل یک آدرس اینترنتی است که ابتدا به آدرس goo.gl و سپس به یک آرشیو RAR حاوی یک فایل JAR هدایت میشود. با توجه به گزارش وبسایت مرکز ماهر (مدیریت امدادو هماهنگی رخدادهای رایانهای) اگر کاربر دو بار روی فایل JAR کلیک کند، جاوا کد مخربی را اجرا و شروع به نصب تروجان بانکی خواهد کرد. کد جاوا ابتدا محیط کاری بدافزار را راهاندازی میکند، سپس فایلهای اضافی را از یک کارگزار از راه دور دانلود میکند.
هنگامی که باینریها توسط کد جاوا دانلود شدند، نام آنها به باینری قانونی VMware تغییر داده میشود و این باینری قانونی را VMware اجرا میکند. بدین ترتیب برنامههای امنیتی فکر میکنند که VMware کتابخانههای قابل اعتمادی را استفاده کرده است. یکی از این کتابخانهها، فایل مخربی به نام vmwarebase.dll است که برای تزریق و اجرای کد در Explore.exe و notpad.exe استفاده میشود. ماژول اصلی (کد برنامهنویسیشده) این تروجان بانکی برای پایاندادن به فرایندهای ابزار تجزیه و تحلیل و ایجاد کلید رجیستری خودکار، طراحی شده است.
این ماژول همچنین میتواند عنوان پنجرهی پیشزمینهی کاربر را به دست آورد؛ بنابراین میتواند هر یک از پنجرههای مربوط به مؤسسهی مالی هدف واقع در برزیل را شناسایی کند. باینری دیگری که این ماژول بارگذاری میکند، با استفاده از Themida بستهبندی شده است. این امر تجزیه و تحلیل باینری را بسیار دشوار میسازد. همچنین مشاهده شده است که هر بار که عملی بر روی سیستم آلوده انجام میشود، این بدافزار رشتههای خاصی را به کارگزار کنترل و فرمان، ارسال میکند.
سود مالی انگیزهی بزرگی برای مهاجمان است و به همین دلیل، بدافزارها در حال تکامل هستند. استفاده از بسترهای بستهبندی تجاری مانند Themida، تجزیه و تحلیل را برای تحلیلگران دشوار میسازد و نشان میدهد که برخی از مهاجمان مایل هستند این بستهبندهای تجاری را بهدست آورند تا مانع از تحلیل شوند.
انتهای پیام
منبع: ایسنا
درخواست حذف خبر:
«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را بهطور اتوماتیک از وبسایت www.isna.ir دریافت کردهاست، لذا منبع این خبر، وبسایت «ایسنا» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۱۵۱۹۴۲۲۳ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتیکه در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.
خبر بعدی:
انتشار شایعات عجیب درباره ریحانه پارسـا به دلیل یک کلیپ! | تصویر
برترینها نوشت: اگر این روزها کانالهای فارسی زبان را دنبال کنید، تصاویر یک بازیگر جوان ایرانی بیشتر از بقیه به چشمتان میآید. ریحانه پارسا بازیگر جوان سینمای ایران که چند سالی است به ترکیه مهاجرت کرده و انواع و اقسام مشاغل از جمله بازیگری و مدلینگ را امتحان کرده و حالا روی به تبلیغات قرص لاغری چینی در ماهواره آورده. درست است که تبلیغات برای سلبریتیها در تمام دنیا امری مرسوم است، اما به عنوان شغلی جانبی برای آنها شناخته میشود و برای این دختر خوشچهره که ظرف مدت کوتاهی از سال ۱۳۹۷ تا ۱۴۰۰ به یک ستاره در سینمای ایران تبدیل شد، کمی نگران کننده است.
در ادامه اخبار پیرامون این بازیگر ۲۵ ساله، حالا شایعات خبر میدهند در صورت موافقت نهادهای داخلی، ریحانه پارسا قصد بازگشت به ایران را دارد و این مسئله را با برخی از دوستان بازیگر خود هم مطرح کرده است.