شماره : RCNE2014072263
تاريخ : 93/5/4
تاكنون، حملات سايبري "عمليات Emmental" تعداد زيادي حساب كاربري را در اتريش، سوييس، سوئد و ژاپن مورد حمله قرار داده است. كارشناسان نسبت به متد پيچيده اين حمله براي بدست آوردن مشخصات حساب هاي بانكي كاربران هشدار دادند.
روز سه شنبه22 جولاي (31 تير)، شركت امنيتي Trend Micro گزارشي را با نام "عملياتEmmental" منتشر كرد، كه در آن، بدافزار انرويدي از احراز هويت دو عاملي گذشته و كد مخربي را اجرا مي كند كه تنظيمات DNS كامپيوتر آلوده را تغيير مي دهد. سپس، آن نقاط توسط مهاجم اداره خواهد شد. خرابكاران اقدام خود را با ارسال بدافزار از طريق حملات فيشينگ- لينك هاي آلوده يا فايل هاي ضميمه شده از طرف فروشندگان محصولات مختلف- شروع مي كنند.
اين بدافزار يك بدافزار معمولي بانكي نيست، تنظيمات روي سيستم ها را تغيير داده و سپس خودش را پاك مي كند. درست است تغييرات كوچك بوده ولي پيامدهاي بزرگي براي كاربران خواهد داشت. اين بدافزار SSL root certificate جعلي را روي سيستم ها نصب مي كند كه موجب مي شود سرورهاي HTTPS آلوده بصورت پيش فرض، قابل اعتماد تشخيص داده شوند و كاربران هيچ گونه هشدار امنيتي را مشاهده نكنند.
اين بدافزار، سپس تغييراتي روي DNS سيستم انجام مي دهد كه موجب مي شود كاربران به سمت وب سايت هاي جعلي بانكي هدايت گردند كه دقيقاً مشابه سايت هاي اصلي است. در آن صفحات، كاربران به صفحات ديگري هدايت مي شوند كه اطلاعات كاربري را وارد كنند و نرم افزاري را نصب نمايند، كه در حقيقت بدافزار اندرويدي است.
اين برنامه كاربردي اندرويدي به عنوان يك توليدكننده رمز session بانكي نيز عمل مي كند. در حقيقت پيامك هايي از بانك را رهگيري كرده و به سمت سرور كنترل و فرمان (C&C) خود يا شماره موبايل ديگري ارسال مي كند. كه به اين معني است كه مجرمان سايبري نه تنها نام كاريري و كلمه عبور بانكي آنلاين قرباني را برمي دارند، بلكه علاوه بر آن رمزهاي session هاي بانكي آنلاين را نيز مي دزدند. به اين ترتيب كنترل كاملي روي حساب هاي كاربري قرباني خواهند داشت. آدرس سرورهاي DNS جعلي به شرح ذيل مي باشند:
• 5.39.219.212
• 193.169.244.73
• 193.169.244.191
• 93.171.202.99
• 37.221.162.56
• 78.108.179.81
- 3