شماره: IRCNE2014062232
تاريخ:08/04/93
بيشتر تروجان ها، اطلاعات مالي افراد را بواسطه تزريق فرم هاي تقلبي به نشست هاي جستجوي وب كاربر به سرقت مي برند اما بدافزاري كه جديدا كشف شده است رويكرد متفاوتي دارد و براي شنود ترافيك خروجي به APIهاي مرورگر نفوذ مي كند.
محققان امنيتي شركت توليدكننده آنتي ويروس ترند ميكرو، اين تهديد را Emotet ناميدند. اين بدافزار از طريق لينكي مخرب در پيام هرزنامه اي توزيع مي شود. اين پيام در قالب هشدارهاي انتقال و صورتحساب هاي بانكي ارسال مي شود.
هنگامي كه اين بدافزار بر روي سيستم اجرا شود، تعدادي مولفه اضافي و يك فايل پيكربندي كه حاوي آدرس هاي URL و رشته هاي ديگر براي جستجو در داخل ترافيك شبكه مي باشد را دانلود مي كند.
شركت ترند ميكرو اعلام كرد كه تجزيه و تحليل فايل هاي پيكربندي نشان مي دهد كه اين بدافزار وب سايت هاي بانكي كشور آلمان را هدف قرار داده است اما اين امكان وجود دارد كه نمونه هاي ديگري از اين بدافزار سايت هاي بانكي كشورهاي ديگر را هدف قرار دهد.
مولفه اصلي Emotet يك فايل DLL را دانلود كرده و آن را به تمامي فرآيندهاي در حال اجرا بر روي سيستم از جمله مرورگرهاي وب تزريق مي كند. اين فايل قادر است تا براي جستجوي رشته هايي كه در فايل پيكربندي مشخص شده است، ترافيك خروجي شبكه را مانيتور كند.
در صورت يافتن رشته مورد نظر، اين بدافزار اطلاعات مربوط به آن را جمع آوري كرده و كل محتوي وب سايت را ذخيره مي كند. اين بدان معناست كه هر نوع داده اي مي تواند به سرقت برود.
هم چنين مولفه DLL مي تواند اطلاعات را از نشست هاي رمز شده مرورگر شنود كند زيرا اين بدافزار به طور مستقيم به APIهاي شبكه كه توسط مرورگر ها استفاده مي شوند نفوذ مي كند.
با توجه به داده هاي جمع آوري شده توسط شركت ترند ميكرو، بيشترين آلودگي به اين بدافزار در اروپا به خصوص در آلمان شناسايي شده است.
محققان امنيتي اظهار داشتند كه آلودگي به اين بدافزار در مناطق ديگري مانند آمريكاي شمالي و آسيا ديده شده است در نتيجه اين بدافزار مختص يك منطقه و كشور خاص نيست.
- 4