این تروجان سیستم های ویندوزی بانک ها را نشانه گرفته است

گروه هکری TA505 اخیرا اقدام به انتشار نوعی جدیدی از بدافزار در فضای مجازی کرده که با ایجاد کمپین های سرقت اطلاعات علیه بانک ها، موسسات مالی و کسب وکارها، دسترسی از راه دور به سیستم های مورد استفاده توسط آنها را فراهم می کند.

تروجان ServHelper که از نوامبر سال گذشته تا به حال فعال است با نصب یک درب پشتی در کامپیوترهای مبتنی بر ویندوز دسترسی از راه دور به سیستم های تضعیف شده را در اختیار هکرها قرار می دهد. اما حمله در اینجا پایان نمی یابد: ServHelper همچنین نقش یک دانلودر را برای FlawedGrace (خانواده ای از بدافزارهای تروجان) ایفا می کند که نخستین بار در نوامبر ۲۰۱۷ کشف شد و از آن تحت عنوان یک تروجان «تمام عیار» برای دسترسی از راه دور یاد شده است.

حالا کارشناسان موسسه امنیتی  Proofpoint تصمیم گرفته اند جزئیات بیشتری را در رابطه با کمپین تلفیقیServHelper و FlawedGrace ارائه نمایند.‌ همانطور که در ابتدای مطلب گفته شد آنها حملات گزارش شده را به TA505 نسبت داده اند؛ گروهی از مجرمان سایبری که برخی از بزرگ ترین حملات سایبری سال های اخیر را ترتیب داده اند و از سال ۲۰۱۴ تاکنون فعالیت می کنند.

malltina

فعالیت ServHelper با ارسال اسپم و ایمیل فیشینگ آغاز می شود. پیام ارسالی از طریق این ایمیل ها بسیار ساده است و صرفا از قربانیان خواسته می شود که اسناد عموما مرتبط با نقل و انتقال های بانکی را باز کنند. با این حال اما به خاطر تعداد بالای پیام های ارسالی (هر بار ده ها هزار ایمیل اسپم ارسال می شود) به باور مهاجمان علیرغم پیش پا افتاده بودن این حملات، میتوان شمار زیادی از کاربران را با این روش به دام انداخت.

به گفته کریس داوسون مدیریت واحد تشخیص تهدید در Proofpoint:

TA505 از روش های پیچیده مهندسی اجتماعی استفاده نکرده و صرفا برای پیدا کردن قربانیان ناآگاه خود به ارسال انبوه این ایمیل ها متوسل شده. در واقع کنجکاوی انسان و تمایل به باز کردن سریع ایمیل ها و ضمائم آنها دلایل کافی را فراهم میکنند تا بدون نیاز به مهندسی اجتماعی در سطوح پیچیده این حملات اتفاق بیافتند.

آنها که ضمايم ایمیلی را باز می کنند در واقع امکان نصب تروجان ServHelper روی سیستم خود را فراهم می نمایند. محققان خاطرنشان کرده اند که این شکل جدید از بدافزارها با جدیت در حال توسعه است و هر بار که کمپین جدیدی با کمک آنها راه اندازی می شود قابلیت ها و فرامین جدیدی به آنها اضافه میگردد.

با این حال اما کارکرد اصلی و اولیه تروجان ServHelper دست نخورده باقی مانده است: این بدافزار نقش نوعی درب پشتی را ایفا میکند و به هکرها امکان می دهد که از راه دور به سیستم های تضعیف شده دسترسی پیدا کنند و کنترل پروفایل ها و حساب های کاربری قربانیان خود را به دست بگیرند.

همانطور که در ابتدا اشاره کردیم FlawedGrace برای استفاده در یک بازه زمانی محدود در سال ۲۰۱۷ توسعه پیدا کرد و کمی بعد در قالب کمپین ServHelper مجددا فعال شد. محققان بر این باورند که بدافزار FlawedGrace (با کمک تکنیک های برنامه نویسی شی گرا و چند ریسمانی توسعه یافته و این تکنیک ها عموما برای مهندسی معکوس و تحلیل بدافزارها مورد استفاده قرار می گیرند) در این مدت به قابلیت های پیشرفته زیادی مجهز شده.

مطالب مرتبط

کد وب‌سایت Have I Been Pwned اپن‌سورس می‌شود

تروی هانت مؤسس وب‌سایت Have I Been Pwned اعلام کرد مجموعه کدهای مورد استفاده در این سایت را به‌شکل اپن‌سورس منتشر می‌کند تا این پروژه سودمند با سرعت بیشتری رشد کرده و در اختیار همه قرار بگیرد.این روزها همه می‌دانیم سهل‌انگاری در مورد مسائل امنیتی، دیر یا زود رمز عبور و اطلاعات شخصی ما را... ادامه مطلب

هک بیش از ۷۰ ساب‌ردیت معروف توسط طرفداران ترامپ

هکرها در حمله‌ای هماهنگ شده حداقل ۷۰ ساب ردیت پربازدید را هک کرده و در آنها تصاویر و مطالبی در حمایت از کمپین انتخاباتی دونالد ترامپ ارسال کردند.روز جمعه چندین صفحه از سایت ردیت که با نام ساب‌ردیت (Subreddit) شناخته می‌شوند مورد حمله هکرها قرار گرفتند. ساب ردیت‌های پرطرفدار با فالوورهای بیش از یک میلیون... ادامه مطلب

حمله هکرهای چینی به ۷ شرکت پیشرفته تایوانی برای سرقت فناوری تولید چیپ

یک شرکت امنیت سایبری تایوانی اعلام کرد هکرهای منتسب به چین به منظور سرقت فناوری نیمه رسانا به چندین شرکت تایوانی حمله کرده‌اند.به گزارش Wired، شرکت امنیتی تایوانی CyCraft Technology اعلام کرد که هکرها تحت عملیاتی به نام Operation Skeleton Key به منظور سرقت فناوری نیمه رسانا، کدهای برنامه نویسی، کیت‌های توسعه نرم افزار (SDK) و... ادامه مطلب

اینتل هک شد؛ انتشار ۲۰ گیگابایت فایل محرمانه در اینترنت

هکرها فلدری حاوی ده‌ها گیگابایت فایل محرمانه مربوط به بخش مهندسی تراشه اینتل را در اینترنت منتشر کردند.بر اساس گزارش Tom's Hardware، هکرها لینک دانلود فلدری حاوی ۲۰ گیگابایت فایل متعلق به بخش مهندسی تراشه اینتل را منتشر کرده‌اند. این فلدر که اوایل سال جاری میلادی از اینتل به سرقت رفته اولین بار در تلگرام... ادامه مطلب

حمله باج افزاری گسترده علیه کانن؛ ۱۰ ترابایت دیتا به سرقت رفت

شرکت کانن اعلام کرده که هدف دو حمله باج افزاری بزرگ قرار گرفته است و دسترسی به ۱۰ ترابایت دیتای ارزشمند آن حالا منوط به پرداخت مبلغی نامشخص باج به عاملان این حملات است.البته این شرکت جزئیات زیادی در مورد نوع دیتای سرقت شده خود ارائه نکرده و مشخص نیست چه تعداد از کاربران آن... ادامه مطلب

رخنه اطلاعاتی در خاورمیانه بیش از میانگین جهانی روی دست شرکت‌ها خرج می‌گذارد

بر اساس جدیدترین پژوهش صورت گرفته، هزینه هر رخنه اطلاعاتی در خاورمیانه بیش از میانگین جهانی و برابر ۶.۵۲ میلیون دلار است.این تحقیق که توسط «IBM Security» و «Ponemon Institute» صورت گرفته، هزینه رخنه اطلاعاتی در ۱۷ کشور جهان در سال ۲۰۲۰ را مورد تحلیل قرار داده است. طبق این گزارش، میانگین هزینه هر رخنه... ادامه مطلب

نظرات ۱

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود

رمزتان را گم کرده‌اید؟