بدافزار Enginebox

۱۳۹۶/۶/۱۳ - ۱۷:۴۴

محققان امنیتی دریافتند که رشته ای از حملات مداوم از طریق بد افزار EngineBox موسسات مالی برزیل را هدف قرار داده است. هکرها از یک پیام هرزنامه مخرب برای فریب شرکت ها استفاده می کنند تا سیستم های آن ها، نسبت به تهدیدات امنیتی آسیب پذیر شود.

چگونه بدافزار EngineBox قربانی های خود را آلوده می کند
بدافزار EngineBox از طریق پیام های رایانامه که از ترفندهای مهندسی اجتماعی استفاده می کند، کاربران خود را آلوده می کند. ایمیل های فیشینگ ارسال شده، از قالب پیام های معمول ارسالی به کارمندان موسسات مالی پیروی می کند. اگر کارمندان بر روی هر کدام از لینک های تعبیه شده یا فایل های پیوستی به ایمیل کلیک کنند، اسکریپتی فعال می شود که اقدام به دانلود ویروس در سیستم قربانی می کند.
محققان کشف کردند که بدافزار EngineBox توسط اسکریپت VBS فعال می شود که این اسکریپت اقدام به دانلود اسکریپتی دیگر از سایت تحت کنترل هکر می کند. این اقدامات منجر به اجرای دنباله ای از دستورات از پیش تعریف شده می شود که حمله اصلی را رقم می زنند. این قدم های متعدد و طولانی برای آلودگی کاربر جهت منحرف کردن آنتی ویروس ها برای شناسایی اسکریپت های مخرب طراحی شده است.
هکرها تلاش می کنند تا سطوح دسترسی فایل دانلود شده را با استفاده از آسیب پذیری شناخته شده تحت عنوان MS16-032 که با تمام نسخه های سیستم عامل ویندوز شرکت مایکروسافت هماهنگی دارد، ارتقا دهند.

قابلیت های بدافزار Enginebox
تحلیلگران امنیت سایبری که بد افزار EngineBox را کشف کردند، قادر شده اند تا بررسی عمیقی از جریان آلوده سازی این تهدید داشته باشند. طبق نتایج به دست آمده این بدافزار توسط لایه های متعدد رمزنگاری شده کپسوله شده است؛ به این معنا که بسیاری از آنتی ویروس ها قادر به تشخیص ویروس های ورودی و فعال ناشی از بدافزار نیستند. به محض دانلود فایل باینری به کامپیوتر هدف، موتور ویروس فعال می گردد.
هم اکنون هکرها و گروه مجرم پشت پرده این بدافزار ، بزرگترین موسسات مالی برزیل اعم از بانک های دولتی و خصوصی را هدف گرفته اند. هیچ اطلاعاتی از هکرها و یا گروه توسعه دهنده این بدافزار موجود نیست.
این بدافزار قادر به آلوده سازی سیستم های میزبان توسط آرایه ای از ویروس ماژول ها است. یکی از اجزای اصلی تهدید حاصل از این باج افزار، کاربرد Browser Hijacker می باشد. این قسمت از کد برای نفوذ به معروفترین مرورگر های وب شامل : Mozilla Firefox, Safari, Internet Explorer, Google Chrome, Microsoft Edge or Opera طراحی شده است. این مهم با هدایت کاربران به آدرس تعریف شده ی هکر تحقق می یابد. معمولا تنظیمات مهم به منظور انعکاس این تفاوت تغییر می یابند مانند: صفحه پیش فرض خانگی ، صفحه ی تب های جدید یا موتور جست و جوگر.
مجرمان پشت پرده این بد افزار، اجرای Hijacker را به گونه طراحی کردند که اطلاعات خصوصی کاربران را استخراج کند. لیست این اطلاعات شامل کوکی های ذخیره شده ، بوک مارک ها، تاریخچه، تنظیمات، رمزهای عبور و داده های حاصل از حساب های کاربری است. همه این اطلاعات توسط یک ارتباط امن به هکر بازمی گردد.
بدافزار EngineBox هم چنین قابلیت نفوذ به دیگر برنامه های کاربر از جمله FTP client و Remote Desktop Software را دارد. از آنجایی که هدف های این ویروس با شبکه در ارتباط هستند، هکرها می توانند اطلاعات زیرساخت های حیاتی و پایگاه های داده را بدست آورند.
زمانی که آلودگی سیستم میزبان به صورت کامل اجرا شد، موتور بدافزار شروع به ساخت یک ارتباط بین میزبان و سیستم هکر می کند تا نفوذ موفق را به او گزارش دهد. در ادامه اعمال زیر انجام می شوند:

•   بدافزار EngineBox اطلاعات حساس کاربر را به سرقت می برد. این اطلاعات شامل: اجزای سخت افزاری، اطلاعات نرم افزاری و لیست پروسه های در حال انجام است. متناسب با تنظیمات هر سیستم ویروس می تواند برنامه مشخصی را متوقف کند، تنظیمات ویندوز را تغییر دهد یا امور مشابهی را انجام دهد.
•   تغییر در تنظیمات ضروری ویندوز می تواند توسط رجیستری ویندوز ، دستورات از پیش تعریف شده یا دیگر ابزار ها انجام شود.
•   EngineBox یک نمونه در پشتی ایجاد میکند که به هکرها این اجازه را می دهد تا کنترل کامل سیستم را به دست بگیرند. هنگامی که این عمل انجام می شود مجرمان این امکان را خواهند داشت تا همیشه به جاسوسی از فعالیت های کاربر بپردازند. آن ها ممکن است از یک کی لاگر برای سرقت رمزهای عبور از تمامی وب سرویس ها یا ایمیل ها استفاده کنند.
•   از بدافزار EngineBox می توان برای هک کردن سایر شبکه های کامپیوتری با استفاده از کد های ثابت نفوذ بهره برد.
•   هکرها می توانند بدافزار های دیگری را بر روی سیستم آلوده اجرا کنند.

حملات بانکی بدافزار EngineBox
یکی از امکاناتی که این ویروس دارد این است که می تواند اعتبار نامه های حاوی اطلاعات را از سرویس بانکداری آنلاین استخراج کند. این عمل توسط روش های مختلفی صورت می گیرد. یکی از آن ها به توانایی رصد اعمال قربانی مرتبط با یکسری از سایت های از پیش تعریف شده مربوط می شود. هر گاه که سایتی از لیست تعریف شده مورد دسترسی قرار میگیرد ، ویروس به طور خودکار شروع به یافتن الگو های مربوط به نام کاربری و رمز عبور می کند.

نمونه های کشف شده توانایی دارند تا پراکسی سرور محلی راه اندازی کنند و تمام ترافیک داده ها را به سایت C&C تحت کنترل هکر هدایت کند. تعدادی از نمونه های جمع آوری شده نشان می دهد که بدافزار توسط یک کانالIRC کنترل می شود. این مسئله راه بسیار انعطاف پذیری را برای اپراتورهای مجرم فراهم می کند تا به تنظیم سیستم قربانی به صورت دلخواه خود و دریافت اطلاعات از سیستم قربانی بپردازد.
چنینی اعمالی به اپراتور های مجرم این امکان را می دهد تا ماشین های آلوده را در اختیار بگیرد یا حجم زیادی از اطلاعات پایگاه داده را برداشت کند. کارشناسان این حمله را حمله ای بزرگ در سطح شرکت ها ارزیابی کرده اند. بدافزار EngineBox به گونه ای ساخته شده است تا سیستم های امنیتی را دور بزند. این امر موجب می شود که این بدافزار به یک سلاح موثر در دست مجرمان تبدیل گردد.

منابع:

https://sensorstechforum.com/enginebox-malware-financial-institutions

https://isc.sans.edu/forums/diary/EngineBox+Malware+Supports+10+Brazilian+Banks/22736/

	کانال تلگرام: APARazi@
	اینستاگرام: Edu_APARazi
	آپارات: https://www.aparat.com/saimaan

فرم جستجو

بدافزار Enginebox