این تروجان سیستم های ویندوزی بانک ها را نشانه گرفته است

گروه هکری TA505 اخیرا اقدام به انتشار نوعی جدیدی از بدافزار در فضای مجازی کرده که با ایجاد کمپین های سرقت اطلاعات علیه بانک ها، موسسات مالی و کسب وکارها، دسترسی از راه دور به سیستم های مورد استفاده توسط آنها را فراهم می کند.

تروجان ServHelper که از نوامبر سال گذشته تا به حال فعال است با نصب یک درب پشتی در کامپیوترهای مبتنی بر ویندوز دسترسی از راه دور به سیستم های تضعیف شده را در اختیار هکرها قرار می دهد. اما حمله در اینجا پایان نمی یابد: ServHelper همچنین نقش یک دانلودر را برای FlawedGrace (خانواده ای از بدافزارهای تروجان) ایفا می کند که نخستین بار در نوامبر ۲۰۱۷ کشف شد و از آن تحت عنوان یک تروجان «تمام عیار» برای دسترسی از راه دور یاد شده است.

حالا کارشناسان موسسه امنیتی  Proofpoint تصمیم گرفته اند جزئیات بیشتری را در رابطه با کمپین تلفیقیServHelper و FlawedGrace ارائه نمایند.‌ همانطور که در ابتدای مطلب گفته شد آنها حملات گزارش شده را به TA505 نسبت داده اند؛ گروهی از مجرمان سایبری که برخی از بزرگ ترین حملات سایبری سال های اخیر را ترتیب داده اند و از سال ۲۰۱۴ تاکنون فعالیت می کنند.

فعالیت ServHelper با ارسال اسپم و ایمیل فیشینگ آغاز می شود. پیام ارسالی از طریق این ایمیل ها بسیار ساده است و صرفا از قربانیان خواسته می شود که اسناد عموما مرتبط با نقل و انتقال های بانکی را باز کنند. با این حال اما به خاطر تعداد بالای پیام های ارسالی (هر بار ده ها هزار ایمیل اسپم ارسال می شود) به باور مهاجمان علیرغم پیش پا افتاده بودن این حملات، میتوان شمار زیادی از کاربران را با این روش به دام انداخت.

به گفته کریس داوسون مدیریت واحد تشخیص تهدید در Proofpoint:

TA505 از روش های پیچیده مهندسی اجتماعی استفاده نکرده و صرفا برای پیدا کردن قربانیان ناآگاه خود به ارسال انبوه این ایمیل ها متوسل شده. در واقع کنجکاوی انسان و تمایل به باز کردن سریع ایمیل ها و ضمائم آنها دلایل کافی را فراهم میکنند تا بدون نیاز به مهندسی اجتماعی در سطوح پیچیده این حملات اتفاق بیافتند.

آنها که ضمایم ایمیلی را باز می کنند در واقع امکان نصب تروجان ServHelper روی سیستم خود را فراهم می نمایند. محققان خاطرنشان کرده اند که این شکل جدید از بدافزارها با جدیت در حال توسعه است و هر بار که کمپین جدیدی با کمک آنها راه اندازی می شود قابلیت ها و فرامین جدیدی به آنها اضافه میگردد.

با این حال اما کارکرد اصلی و اولیه تروجان ServHelper دست نخورده باقی مانده است: این بدافزار نقش نوعی درب پشتی را ایفا میکند و به هکرها امکان می دهد که از راه دور به سیستم های تضعیف شده دسترسی پیدا کنند و کنترل پروفایل ها و حساب های کاربری قربانیان خود را به دست بگیرند.

همانطور که در ابتدا اشاره کردیم FlawedGrace برای استفاده در یک بازه زمانی محدود در سال ۲۰۱۷ توسعه پیدا کرد و کمی بعد در قالب کمپین ServHelper مجددا فعال شد. محققان بر این باورند که بدافزار FlawedGrace (با کمک تکنیک های برنامه نویسی شی گرا و چند ریسمانی توسعه یافته و این تکنیک ها عموما برای مهندسی معکوس و تحلیل بدافزارها مورد استفاده قرار می گیرند) در این مدت به قابلیت های پیشرفته زیادی مجهز شده.