امروز: دوشنبه، 29 آبان 1396

 

با وجودی که موج باج­افزارهای  Wannacry و Petya  در حال حاضر کاهش یافته­ اما هکرها و مجرمان اینترنتی علاقه مند به پول، از انتشار بیماری­های جهانی درس­هایی گرفته­اند تا بدافزار خود را قوی­تر نمایند.

محققان امنیتی تا کنون حداقل یک گروه از مجرمان اینترنتی را شناسایی کرده­اند که در تلاشند تا به تروجان بانکی خود، قابلیت های خود انتشاری کرم گونه­ای بدهند،که این قابلیت ها اخیرا حملات باج افزاری را در سراسر جهان انجام می­دهند.

نسخه جدید سرقت اعتبارنامه با نام تروجان بانکی TrickBot، که به عنوان "1000029"  (v24) شناخته می­شود، با استفاده از بلوک پیام ویندوز سرور  (SMB) شناسایی شده­است که اجازه می­دهد WannaCry و Petya به سرعت در سراسر جهان پخش شوند.

TrickBot یک بدافزار تروجان بانکی است که از سال گذشته، موسسات مالی را در سراسر جهان هدف قرار داده­است.

به­طور کلی تروجان از طریق پیوست های ایمیل و با جعل فاکتورها از یک موسسه بین المللی مالی بدون نام گسترش می­یابد، اما در حقیقت قربانیان را به یک صفحه ورود جعلی که برای سرقت اعتبارها استفاده می­شود، هدایت می­نماید.

هفته گذشته، محققان در موسسه Flashpoint، که به­طور پیوسته  فعالیت ها و اهداف TrickBot را ردیابی می­کنند، متوجه شده­اند که تروجان TrickBot به تازگی به منظور گسترش از طریق بلوک سرور پیام(SMB)  از طریق شبکه به صورت محلی توسعه داده می شود.

از آنجا که نسخه جدید TrickBot هنوز در حال آزمایش است، ویژگی های جدید به طور کامل توسط باند هک پشت پرده تروجان اجرا نشده است. همچنین بر خلاف باج افزار WannaCry که از یک آسیب پذیری به نام EternalBlue سوء استفاده کرد، این تروجان قابلیت آن را ندارد که به صورت تصادفی IP های خارجی برای اتصالات SMB را اسکن نماید.

محققان موسسه Flashpoint گفتند که تروجان به منظور اسکن دامنه برای لیست سرورهای آسیب­پذیر از طریق NetServerEnum Windows API تغییر داده شده­است و سایر رایانه­ها در شبکه از طریق پروتکل دسترسی دایرکتوری خفیف LDAP (LDAP) نامگذاری می­شوند.

نسخه جدید TrickBot می تواند به عنوان setup.exe  نیز مخفی شده و از طریق یک سند PowerShell تحویل داده شود تا از طریق ارتباطات درون-پردازشی گسترش یابد و نسخه اضافی TrickBot را بر روی درایوهای اشتراکی بارگیری نماید.

برای محافظت در مقابل چنین بدافزار های مخربی، همیشه باید از فایل های ناخواسته و اسناد ارسال شده توسط یک ایمیل مشکوک جلوگیری نمایید و هرگز نباید بر روی لینک های درون آنها کلیک کنید مگر اینکه منبع آن تأیید شود.

به منظور حفظ دائمی اطلاعات ارزشمند خود، یک نسخه پشتیبان در محلی مناسبی تهیه کرده و نسخه پشتیبان را در یک دستگاه ذخیره سازی خارجی کپی کنید که همیشه به کامپیوتر شما متصل نباشد.

علاوه بر این، اطمینان حاصل کنید که از یک سیستم امنیتی مؤثر ضد ویروس در سیستم خود استفاده میکنید و آن را به روز نگه میدارید.


منبع : thehackernews.com