بوت هک کرک

بوت هک کرک

اخبار IT، آموزش امنیت و راه های مقابه با هک
بوت هک کرک

بوت هک کرک

اخبار IT، آموزش امنیت و راه های مقابه با هک

تروجان بانکی جدید Zberp


نویسندگان Zberp نیز از همین تکنیک استفاده کرده‌اند که این بدان معناست که از کشف شدن توسط برنامه‌های ضدبدافزار جلوگیری می‌کنند، چرا که به‌روز رسانی‌های پیکربندی را به شکل پنهان درون یک تصویر لوگوی اپل ارسال می‌کنند.
به نظر می‌رسد که یک تروجان جدید که کاربران ۴۵۰ موسسه مالی در سراسر دنیا را هدف قرار داده است، عملکرد و ویژگی‌های خود را مستقیماً از تروجان‌های بدنام زئوس و Carberp به ارث برده باشد.

به گزارش ایتنا از مرکز ماهر، این تهدید جدید که توسط محققان امنیتی شرکت Trusteer (زیرمجموعه آی‌بی‌ام) Zberp نام گرفته است، ویژگی‌های متنوعی دارد. این تروجان می‌تواند اطلاعاتی شامل آدرس آی‌پی و نام را در مورد سیستم‌های آلوده جمع‌آوری کند، از صفحه نمایش تصویر تهیه کرده و برای یک سرور راه دور ارسال نماید، اطلاعات اعتباری FTP و POP۳، گواهینامه‌های SSL و اطلاعات وارد شده در فرم‌های وب را سرقت کند، سشن‌های مرورگر را سرقت نماید و اقدام به قرار دادن محتوای جعلی در صفحات باز وب کند و با استفاده از پروتکل‌های VNC و RDP، ارتباط راه دور جعلی (remote desktop) برقرار نماید.

محققان Trusteer اعتقاد دارند که Zberp یک ویرایش از ZeusVM است. ZeusVM یک ویرایش اخیر از تروجان زئوس است که کد منبع آن در سال ۲۰۱۱ در فروم‌های زیرزمینی لو رفته است. ZeusVM در ماه فوریه کشف شد و با نوجه به اینکه نویسندگان آن از پنهان‌نگاری (steganography) برای پنهان کردن داده‌های پیکربندی در درون تصاویر استفاده کرده‌اند، از سایر نسخه‌های زئوس متمایز می‌گردد.

نویسندگان Zberp نیز از همین تکنیک استفاده کرده‌اند که این بدان معناست که از کشف شدن توسط برنامه‌های ضدبدافزار جلوگیری می‌کنند، چرا که به‌روز رسانی‌های پیکربندی را به شکل پنهان درون یک تصویر لوگوی اپل ارسال می‌کنند.

البته این تهدید جدید از تکنیک‌های hook نیز برای کنترل مرورگر استفاده می‌کند که به نظر می‌رسد این ویژگی را از Carberp قرض گرفته باشد. Carberp نیز یک تروجان بانکی است که کد منبع آن در سال گذشته لو رفت.

به گفته یکی از محققان Trusteer، پس از لو رفتن کد منبع Carberp به صورت عمومی انتظار می‌رفت که در زمان کوتاهی مجرمان سایبری اقدام به ترکیب کد منبع زئوس با کد منبع Carberp نمایند و یک بدافزار جدید تولید کنند.

Zberp همچنین مشابه ZeusVM کلید رجیستری خود را در هنگام اجرا حذف می‌کند و به محض اینکه شات‌داون شدن سیستم را تشخیص داد، آن را باز می‌گرداند.

بنا بر گزارش Virus-Total، تروجان Zberp در ابتدای کشف از چشم اغلب نرم‌افزارهای آنتی‌ویروس پنهان باقی می‌ماند.

نظرات 0 + ارسال نظر
برای نمایش آواتار خود در این وبلاگ در سایت Gravatar.com ثبت نام کنید. (راهنما)
ایمیل شما بعد از ثبت نمایش داده نخواهد شد