مقدمه
بات نت Floki، نمونه جدیدی از بدافزارهای بانکداری است که اخیراً در بازارهای Dark Net برای فروش گذاشته شده است. این بات نت از طریق پست الکترونیکی گسترش پیدا می کند و برای سرقت اطلاعات کارت های اعتباری قربانیان استفاده می شود. این بدافزار، مبتنی بر کد مبنای مشابهی است که توسط بات نت مشهور Zeus مورد استفاده گرفت، کدی که در سال 2011 منتشر شد. به جای کپی ساده خصوصیاتی که در بات نت Zeus وجود داشتند، باتFloki قابلیت های جدید اضافه نمود که آن را به ابزار جالبی برای مجرمان تبدیل کرد. به گفته شرکت Talos، اصلاحاتی در مکانیزم ارسال موجود در کد منبع Zeus ایجاد شده است، به طوری که شناسایی بات Floki را مشکل تر می میسازد.
بات Floki توسط توسعهدهندگان به قیمت ۱۰۰۰ دلار به ارزش بیتکوین به فروش میرسد و مبتنی بر باتنت زئوس است. هرچند محققان اخیراً متوجه شدند که بات Floki دارای قابلیتهای جدیدی از جمله ضد تشخیص است. شرکت Talos کد نسخهی جدید بدافزار را نیز مورد بررسی قرار داده و متوجه شده که قابلیتِ عملیات بر روی شبکهی Tor نیز در این بدافزار موجود است ولی هنوز عملکرد فعالی از آن مشاهده نشده است.
محققان شرکت flashpoint معتقدند نام مورد استفاده توسط این بدافزار یک نام برزیلی است. همچنین محققان مشخص کردند که ارتباطات عوامل این بات در پرتغال است و آدرسهای IP و دامنههای برزیلی را هدف قرار دادهاند و در حالت کلی به دستگاههایی که زبان پیشفرض آنها بر روی پرتغالی تنظیم شده است، علاقهمند هستند. شرکت flashpoint عوامل این بات را «اتصالدهنده(رابط)» نامید چرا که در تعداد زیادی از انجمنهای خارج از برزیل از جمله انجمنهای زیرزمینی Dark Web در روسیه و انگلستان حضور دارند. محققان متعتقدند با حضور در وبگاههای خارجی، این مهاجمان دانش و ابزارهای مختلفی را وارد انجمنهای برزیل میکنند.
علاوه بر قابلیتهایی که این بدافزار از باتنت زئوس گرفته است، دارای قابلیت قلاب کردن نیز هست که از این طریق میتواند اطلاعات کارتهای پرداخت را از حافظه بدست آورد. در یک پویش باتنت Floki که توسط flashpoint مشاهده شده بود، ۲۲۵ بات، اطلاعات نزدیک به ۱۳۷۵ کارت اعتباری را به سرقت بردند.
در حوزه جرائم سایبری مالی، پیشرفت ادامه دار بدافزار شناخته شده «Floki Bot» مشاهده می شود که توسط فعالی به نام «flokibot» از سپتامبر 2016 عرضه شده است.
- 2