بدافزار جديد دستگاه‌های كارت‌خوان بانكی

شماره: IRCNE2014012076
تاريخ: 28/10/92

محققان جرايم سايبري شركت IntelCrawler، برنامه‌اي به نام Decebal براي سوء استفاده از دستگاه‌هاي كارت‌خوان بانكي كشف كرده‌اند كه معتقدند روز سوم ژانويه عرضه شده است. عرضه اين برنامه نشان مي‌دهد كه مجرمان سايبري روز به روز به اين نوع حملات علاقه‌مندتر مي‌شوند.
اين بدافزار به زبان VBScript و در كمتر از 400 خط كد نوشته شده است. علي‌رغم ظاهر ساده، اين برنامه مي‌تواند داده‌هاي رمز شده در نوار مغناطيسي كارت‌هاي اعتباري را از حافظه دستگاه‌هاي كارت‌خوان بانكي سرقت نمايد و حتي شامل روال‌هايي براي دور زدن ابزارهاي تحليل بدافزار مانند sandbox هاي آنتي‌ويروس و ماشين‌هاي مجازي است.
استفاده از يك زبان اسكريپت نويسي براي ايجاد بدافزار معمول نبوده و حتي در اين نوع تهديدات بسيار غيرمعمول است. به گفته مديرعامل IntelCrawler، اين نخستين بار است كه وي بدافزار دستگاه‌هاي كارت‌خوان بانكي كه با VBScript نوشته شده است را مشاهده مي‌كند.
استفاده از اين زبان مزايايي مانند قابليت حمل را به همراه دارد و باعث مي‌شود اين بدافزار در تمامي نسخه‌هاي ويندوز از ويندوز 98 به بعد كار كند و نيازي به مفسر جداگانه نداشته باشد. بسياري از دستگاه‌هاي كارت‌خوان بانكي، يك نسخه از ويندوز Embedded را مورد استفاده قرار مي‌دهند.
همچنين VBScript معمولاً توسط مديران سيستم‌هاي ويندوز براي خودكار كردن وظايف مختلف مورد استفاده قرار مي‌گيرد و مي‌تواند توسط اسكريپت‌ها و برنامه‌هاي ديگر فراخواني گردد كه مي‌تواند باعث غيرمحسوس شدن حضور اين بدافزار شود.
Decebal داده‌هاي سرقت شده را به يك سرور دستور و كنترل و به‌طور خاص براي يك اسكريپت پي‌اچ‌پي 44 خطي كه بر روي يك وب سرور اجرا مي‌شود، ارسال مي‌كند. اين اسكريپت داده‌هاي دريافتي را مرتب كرده و ذخيره مي‌نمايد.
به گفته محققان IntelCrawler، رشته‌هاي متني كشف شده در كد اين بدافزار و نيز نام بدافزار (نام يك شخصيت تاريخي در روماني) اين احتمال را مطرح مي‌كند كه نويسندگان آن اهل روماني هستند.
به گفته يك محقق رومانيايي، سال گذشته حداقل چهار نمونه مجزا از بدافزارهاي دستگاه‌هاي كارت‌خوان بانكي شناسايي شدند. اين مسأله نشان مي‌دهد كه مجرمان سايبري به استفاده از اين بدافزارها روي آورده و ادامه خواهند داد.