شماره: IRCNE2013112030
تاريخ:09/09/92
محققان امنيتي هشدار مي دهند يك تروجان جديد كه كاربران خدمات مالي آنلاين را هدف قرار داده است، اين پتانسل را دارد كه تا چند ماه آينده به سرعت گسترش يابد.
بدافزار Neverquest بسياري از قابليت هاي بدافزارهاي مالي ديگر را دارا مي باشد. اين بدافزار مي تواند محتوي وب سايت هايي كه توسط IE يا فايرفاكس باز شده اند را تغيير داده و فرم هاي جعلي را به آن ها تزريق نمايد. سپس مي تواند نام هاي كاربري و رمز عبوري كه در اين وب سايت ها توسط قرباني وارد مي شود را به سرقت برده و به مهاجمان اجازه دهد تا از راه دور و با استفاده از VNC كنترل سيستم هاي آلوده را در اختيار بگيرند.
در پيكربندي پيش فرض اين تروجان، 28 وب سايت هدفمند كه متعلق به بانك هاي بين المللي بزرگ و خدمات عمومي پرداخت آنلاين مي باشند، تعريف شده است. با اين حال، علاوه بر اين وب سايت ها، اين بدافزار قادر است تا صفحات وبي كه كاربر مشاهده مي كند و حاوي كلمات خاص مانند balance، checking account و account summary مي باشد را شناسايي نموده و محتوي آن را براي مهاجم ارسال نمايد. اين روش به مهاجمان كمك مي كند تا وب سايت هاي مالي جديد را شناسايي نمايند.
پس از آنكه مهاجم اطلاعات لازم در خصوص حساب كاربري كاربر بر روي يك وب سايت را در اختيار گرفت، براي اتصال به كامپيوتر كاربر از طريق VNC از يك سرور پروكسي استفاده مي كند و به طور مستقيم به حساب كاربري دسترسي مي يابد. در اين مسير مهاجم بايد مكانيزم هاي حفاظتي حساب كاربري را دور بزند زيرا عمليات انتقال پول از طريق مرورگر قرباني انجام مي شود.
روش هايي كه براي توزيع Neverquest استفاده مي شود شبيه به روش هايي است كه براي توزيع كلاينت بات نت Bredolab به كار برده مي شود. بات نت Bredolab معروفترين و گسترده ترين بدافزار سال 2010 مي باشد.
بدافزار Neverquest اعتبارنامه هاي ورود به حساب را از روي كلاينت FTP برنامه هاي نصب شده بر روي رايانه هاي آلوده به سرقت مي برد. سپس مهاجمان براي آلوده كردن وب سايت ها به بسته كد سوء استفاده Neutrino از اين اعتبارنامه هاي FTP استفاده مي كنند و بدين وسيله از آسيب پذيري موجود در پلاگين مرورگر سوء استفاده كرده تا بدافزار Neverquest را بر روي رايانه هدف نصب نمايند.
هم چنين اين برنامه تروجان مي تواند اعتبارنامه هاي SMTP و POP را از كلاينت هاي ايميل به سرقت ببرد و براي مهاجمان ارسال كند. بنابراين مهاجمان مي توانند با استفاده از اين اعتبارنامه ها، ايميل هاي هرزنامه اي حاوي الصاقات مخرب را براي كاربر ارسال نمايند. اين ايميل ها بسيار شبيه اطلاعيه هاي رسمي از برخي ارائه دهندگان خدمات طراحي شده است.
انتظار مي رود تا پايان سال حملات گسترده اين بدافزار مشاهده شود به گونه اي كه بسياري از كاربران خدمات مالي آنلاين، قرباني اين تروجان شوند.
- 2