بدافزارها

تروجان بانکی IcedID
۳ مرداد ۱۳۹۷

تروجان بانکی IcedID

تروجان IcedID اولین بار در سپتامبر ۲۰۱۷ در جریان پویش‌های آزمایشی شناخته شد. تروجانی با کدهای کاملا جدید. نکته قابل توجه در ارتباط با بدافزارها این است که به دلیل ارتباطی که بین توسعه‌دهندگان این بدافزارها وجود دارد و اشتراک اطلاعاتی که بین این افراد انجام می‌گیرد، اکثر بدافزارها بر مبنای کد‌های بدافزارهای دیگر نوشته می‌شوند. در نتیجه در یک سال تنها شاهد ظهور یک الی دو بدافزار با کدهای کاملا جدید هستیم و IcedID هم دقیقا در دسته‌ی بدافزارهای کاملا جدید سال ۲۰۱۷ قرار دارد. با وجود اینکه کدهای این بدافزار کاملا جدید است اما با بدافزارهای قدیمی‌تر و پیشرفته‌تر رقابت می‌کند. در ادامه به بررسی بیشتر این تروجان بانکی  خواهیم پرداخت. 

نحوه انتقال

به نقل از تیم امنیتی  X-Force IBM  عامل انتقال این تروجان Emotet است که برخلاف IcedID تهدید جدیدی به حساب نمی‌آید و قبل از این عامل انتقال بدافزارهایی مانند QaKBot و Dridex بوده است.  Emotet  در نقش یک dropper عمل می‌نماید. Emotet مانند یک پیغام بانکی به نظر می‌آید و شامل فایل‌های فشرده مخرب می‌باشد.

IcedID قابلیت انتشار از طریق شبکه را دارا می‌باشد. این بدافزار با راه‌اندازی یک پروکسی قابلیت پایش فعالیت‌های آنلاین قربانیانش را دارد. حملاتی که این تروجان راه می‌اندازد شامل حملات تزریق وب و تغییر مسیر  می‌باشد.

IcedID به دلیل دارا بودن ماژول انتشار، توانایی جابه‌جایی از یک ایستگاه پایانی و سرورهای ترمینال را دارد.

نحوه آلوده سازی

 اولین مرحله، بارگذاری فایل پیکربندی از سرور C&C است. این مرحله زمانی آغاز می‌گردد که قربانی مرورگر سیستمش را باز نماید. در واقع IcedID، از روش تزریق وب و تغییر مسیر (redirection) استفاده می‌نماید و یک پروکسی محلی بر روی پورت ۴۹۱۵۷ برای رهگیری ترافیک به راه می‌اندازد. تغییر مسیری که قبل‌تر راجع به آن صحبت کردیم به گونه‌ای طراحی شده است که به قانونی‌ترین شکل ممکن به نظر بیاید. URL و SSL بانک در نوار آدرس به گونه‌ای نمایش داده می‌شود که گویا ارتباط با وب‌سایت بانک زنده است. در نتیجه کاربر اعتماد کرده و گواهی‌نامه‌هایش را در واقع در یک وب‌سایت جعلی منتشر می‌نماید. بعد از آن توسط مهندسی اجتماعی کاربر گمراه شده و اطلاعات محرمانه‌ی بیشتری را منتشر می‌نماید. این اطلاعات حاوی جزئیات احراز هویت می‌باشد.

 نداشتن قابلیت ضد مجازی‌سازی (anti-virtual) و ضد جست‌و‌جو (anti-research) از معایب این بدافزار می‌باشد. در نتیجه این تروجان توسط راهکارهای امنیتی چند لایه می‌تواند متوقف گردد.

آرمان داده پویان نماینده رسمی محصولات کسپرسکی در ایران

برای اطلاعات بیشتر تماس بگیرید


تازه ترین ها