این کمپین بدافزار جدید اطلاعات بانکی ۵۰۰۰۰ نفر را به سرقت برد – و هنوز هم قربانیان جدید را دنبال می کند، پس مراقب باشید

Bia2 Host
این کمپین بدافزار جدید اطلاعات بانکی ۵۰۰۰۰ نفر را به سرقت برد – و هنوز هم قربانیان جدید را دنبال می کند، پس مراقب باشید

یک جدید بد افزار کارشناسان هشدار داده‌اند که کمپینی که در حال حاضر در طبیعت فعالیت می‌کند، تاکنون داده‌های حساس بانکی بیش از ۵۰۰۰۰ کاربر در ۴۰ بانک در سراسر جهان را ضبط کرده است.

محققان امنیت سایبری از IBM گفتند که این کمپین تاکتیک‌های غیرمعمولی را به کار می‌گیرد که آن را مخفی‌تر از سایرین می‌کند و اسکریپت‌های مخرب را از سرورهایشان در ساختار صفحه بارگذاری می‌کند که معمولاً در وب‌سایت‌های بسیاری از بانک‌ها یافت می‌شود. این به آنها اجازه می دهد تا اعتبار ورود کاربر و رمزهای عبور یک بار مصرف (OTP) را بگیرند.

پس از به دست آوردن اطلاعات ورود، مهاجمان اقدام به جمع‌آوری وجوه و قفل کردن کاربران قانونی از حساب‌هایشان می‌کنند.

کمپین فعال

همانطور که محققان IBM توضیح دادند، همه چیز با یک عفونت بدافزار در نقطه پایانی قربانی شروع می شود. پس از آن، هنگامی که قربانی از یک سایت مخرب بازدید می کند، بدافزار یک تگ اسکریپت جدید تزریق می کند که سپس در مرورگر بارگذاری می شود و محتوای وب سایت را تغییر می دهد. این به مهاجمان اجازه می دهد تا رمزهای عبور را بگیرند و کدهای احراز هویت چند مرحله ای و رمزهای عبور یکبار مصرف را رهگیری کنند.

معمولاً، محققان توضیح بیشتری دادند، هکرها بدافزار را مجبور می‌کنند که تزریق وب را مستقیماً در صفحه وب انجام دهد. با این حال، این روش مخفی‌تر است زیرا بررسی‌های تحلیل استاتیک اسکریپت لودر ساده‌تر را علامت‌گذاری نمی‌کند و امکان تحویل پویا محتوا را فراهم می‌کند. علاوه بر این، این اسکریپت شبیه شبکه‌های قانونی تحویل محتوای جاوا اسکریپت (CDN) است که به مخفی بودن کمپین بیشتر می‌افزاید.

اپراتورها همچنین می توانند رفتار اسکریپت را با ارسال به روز رسانی ها و دستورالعمل ها از طریق سرور C2 تغییر دهند. این می‌تواند درخواست‌هایی را برای شماره تلفن، نشانه‌های OTP، پیام‌های خطای فوری یا وانمود به «بارگیری» صفحات تزریق کند.

در حالی که IBM نتوانست دقیقاً مشخص کند چه کسی پشت این کمپین قرار دارد، اما می‌گوید که این کمپین به طور «بی بند و بار» شبیه به DanaBot است، یک تروجان بانکی ماژولار که برای اولین بار در سال ۲۰۱۸ مشاهده شد و اخیراً مشاهده شده است که از طریق نتایج جستجوی مخرب Google توزیع شده است.

آی‌بی‌ام هشدار می‌دهد که کمپین همچنان فعال است و توصیه می‌کند هنگام استفاده از سایت‌ها و برنامه‌های بانکداری آنلاین احتیاط کنید.

از طریق Bleeping Computer

بیشتر از TechRadar Pro


منبع: https://www.techradar.com/pro/security/this-new-malware-campaign-stole-the-banking-details-of-50000-people-and-its-still-going-after-new-victims-so-be-careful

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *