تروجان بانکی می‏ تواند حساب‏‏ های فیسبوک، توئیتر و جیمیل را سرقت کند!

محققان امنیتی یک بدافزار جدید و پیچیده، مبتنی بر تروجان بانکی مبتنی بر Zeus کشف کرده‎اند، که می تواند اطلاعات اکثر حساب‏ های بانکی را سرقت کند.

تروجان بانکی Terdot از اواسط سال ۲۰۱۶ تا کنون وجود داشته است که در ابتدا به عنوان یک پراکسی برای انجام حملات "man-in-the-middle " (MITM)، سرقت اطلاعات مرورگر مانند اطلاعات ذخیره شده از کارت‏ های اعتباری، گواهی‏نامه ‏های ورود و تزریق کدهای html به صفحات بازدید شده عمل می‏ کرد.

با این حال، محققان شرکت امنیتی Bitdefender دریافته ‏اند که تروجان بانکی با قابلیت‏ های جدید جاسوسی، مانند استفاده از ابزارهای اُپن سورس برای جعل گواهی‏نامه‏ های SSL به منظور دسترسی به رسانه‏ های اجتماعی و حساب های ایمیل و حتی ارسال از طرف کاربر آلوده ارتقا یافته است.

تروجان بانکی Terdot این کار را با استفاده از یک پراکسی متداول در حمله‏ ی (MITM) انجام می‏ دهد که به نرم ‏افزارهای مخرب اجازه می دهد تا هر گونه ترافیکی را بر روی یک کامپیوتر آلوده ضبط کنند.

علاوه بر این، نوع جدید Terdot دارای قابلیت بروزرسانی خودکار می ‏باشد و به بدافزارها اجازه می ‏دهد فایل‏ های درخواست شده توسط اُپراتور آن را دانلود و اجرا نمایند.

Terdot معمولاً وب‏ سایت‏ های بانکی تعداد زیادی از مؤسسات کانادایی مانندRoyal bank,Banque ,Nationale, PCFinancial ,Desjardins BMO, Scotiabank و Scotiabank را هدف قرار می‏ دهد.

این تروجان می تواند حساب های فیس بوک، توئیتر و Gmail شما را سرقت کند!

با این وجود با توجه به آخرین بررسی‏ ها ، Terdot می‏ تواند شبکه های رسانه‎ای اجتماعی مانند فیسبوک، توئیتر، گوگل پلاس، یوتیوب و ارائه دهندگان خدمات ایمیل مانند gmail گوگل ، live.com از  مایکروسافت  و ایمیل یاهو را هدف قرار دهد.

Bitdefender اشاره کرد: جالب است که بد افزار از جمع آوری اطلاعات مربوط به بزرگترین رسانه اجتماعی VKontakte اجتناب می‏ کند، این حاکی از آن است که عاملانی از اروپای شرقی ممکن است پشت این قضیه باشند.

تروجان بانكی اغلب از طریق وب ‏سایت‏ هایی كه با كیت Exploit SunDown تسخیر شده ‏اند توزیع می‏ گردد، اما محققان دریافته ‏اند که از طریق یک ایکون pdf جعلی نیز می‏ توانند به ایمیل ‏های مخرب وارد ‏شوند.

اگر روی آن کلیک شود کد جاوا اسکریپتی را اجرا می ‏کند که این کد فایل ‏های بدافزاری را دانلود و اجرا می ‏نماید. تروجان، برای اینکه تشخیص داده نشود از یک مجموعه‏ ی پیچیده از تزریق‏ ها و دانلودگرها استفاده می‏ کند که اجازه می ‏دهد Terdot  کم کم وبه صورت تکه تکه دانلود شود.

پس از آلوده شدن، تروجان برای ارتباط مستقیم با پراکسی، خود را به مرورگر تزریق می‏ کند، ترافیک را ضبط نموده و جاسوس ‏افزار تزریق می‏ کند . همچنین می‏ تواند اطلاعات احراز هویت را از طریق بررسی درخواست‏ های قربانی یا تزریق کد جاوا اسکریپت جاسوسی در پاسخ، سرقت کند.

Terdot همچنین می ‏تواند محدودیت ‏هایی را که توسط TLS (امنیت لایه انتقال) تعریف شده است با تولید گواهی‏نامه اعتباری خود و تولید گواهی برای هر دامنه‏ ای که قربانی بازدید می‏ کند دور بزند.

هرگونه اطلاعاتی که قربانیان به یک حساب بانکی یا شبکه‏ های اجتماعی ارسال می‏ کنند می ‏تواند در یک آن توسط Terdot ضبط شده و مورد تغییر قرار گیرد، و همچنین می‏ تواند خود را از طریق ارسال لینک‏ های جعلی به سایر حساب‏ های رسانه‏ های اجتماعی منتشر نماید.

Bitdefender به این نتیجه رسید که: "Terdot یک بدافزار پیچیده، و ساخته شده بر اساس Zeus است." تمرکز آن بر روی ضبط اطلاعات محرمانه از سایر سرویس‏ ها مانند شبکه ‏های اجتماعی و سرویس ‏های ایمیل است که توانسته این ابزار را به یک ابزار جاسوسی سایبری بسیار قدرتمند تبدیل کند که کشف و پاکسازی آن بسیار دشوار است.

Bitdefender از ماه اوت سال گذشته تا کنون نوع جدیدی از تروجان بانکی Terdot را پیگیری کرده است. جهت اطلاع از جزئیات بیشتر در مورد تهدید جدید، می‏‎توانید به مقاله فنی (PDF) منتشر شده توسط شرکت امنیتی مراجعه کنید.

منبع:

https://thehackernews.com/2017/11/facebook-twitter-hack.html