محققان امنیتی در گزارشی ادعا کردند که یک کمپین کلاهبرداری اینترنتی جدید (فیشینگ)، با ظاهری شبیه به ابزار گوگل، کاربران سرویسهای بانکی را هدف قرار داده است. هدف از آن کمپین، دزدیدن اطلاعات بانکی افراد عنوان شد.
مؤسسهی تحقیقات امنیتی سایبری Sucuri در گزارش خود ادعا کرد که حملهی جدید مجرمان سایبری، علیه یک بانک لهستانی و کاربران آن انجام شد و ظاهری شبیه به Google ReCAPTCHA داشت. روشهایی برای افزایش نگرانی و ترس در میان کاربران نیز استفاده شد تا آنها مجبور به کلیک کردن روی لینکهای مخرب شوند. لینکها عموما ازطریق ایمیل برای قربانیان ارسال میشد.
ایمیلهای مخربی که با هدف دزدیدن اطلاعات به قربانیان ارسال شد، در ظاهر برای تأیید یکی از آخرین تراکنشهای بانکی آنها بود. بهعلاوه، لینکی به یک فایل مخرب PHP نیز در آن ایمیلها گنجانده شده بود. در ایمیلهای مذکور، از قربانیان خواسته میشد تا برای تأیید یک تراکنش (ساختگی) روی لینکی کلیک کنند که قطعا مقصدی مخرب داشت.
روش جملهی مجرمان سایبری که در بالا توضیح داده شد، روش جدیدی نیست. منتهی، مرحلهی بعدی حملهی جدید، کمی غیرمعمول و جدید بهنظر میرسد. اگر قربانی متوجه تقلبی بودن لینک موجود در ایمیل نشود و روی آن کلیک کند، برخلاف حملات مرسوم، به صفحهی تقلبی از بانک مقصد هدایت نخواهد شد. درعوض، یک صفحهی ۴۰۴ تقلبی توسط آن فایل مخرب PHP بارگذاری میشو
صفحهی مخرب مورد استفاده توسط مجرمان، تعدادی عامل کاربر مشخص دارد که به رباتهای خزندهی گوگل محدود هستند. بهبیان دیگر، اگر درخواست به آن صفحه، از طرف رباتهای گوگل نباشد، اسکریپت PHP یک ابزار تقلبی ریکپچا گوگل متشکل از کدهای جاوااسکریپت و HTML بارگذاری میکند. محققان در توضیح آن صفحهی مخرب میگویند:
صفحهی مخرب، بهخوبی ظاهر گوگل ریکپچا را کپی میکند، اما از آنجایی که به المانهای استاتیک وابسته است، تصاویر آن ثابت خواهند بود؛ مگر اینکه کد صفحهی مخرب، تغییر کند. بهعلاوه، کد مخرب برخلاف نسخهی واقعی، قابلیت پخش صوتی ReCAPTCHA را ندارد.
عامل مرورگر در ادامهی فعالیت خود، مسیر کاربر پیش از وارد شدن به صفحه را مورد بررسی قرار میداد. پس از شناسایی آن مسیر، یک فایل zip. به کاربر ارائه میشود یا اگر مرور در سیستمعامل اندروید باشد، فایل مخرب APK. در دستگاه او بارگذاری خواهد شد.
نمونههایی از بدافزار مورد استفاده در آن حمله، در سرویس VirusTotal بارگذاری شدهاند. نسخهی اندرویدی بدافزار، بهوفور در اینترنت یافت میشود و قابلیت خواندن وضعیت، موقعیت و مخاطبان دستگاه هوشمند را دارد. بهعلاوه آن بدافزار میتواند پیامکهای قربانی را بخواند و همچنین پیام ارسال کند. از قابلیتهای دیگر آن میتوان به برقراری تماس، ضبط صدا و دزدیدن اطلاعات حساس دیگر اشاره کرد. تروجان مذکور با نامهایی همچون Banker, BankBot, Evo-gen و Artmeis یا نامهای مشابه، توسط نرمافزارهای آنتیویروس شناخته میشود.
در نمونهای دیگر از بدافرارهای موبایل، در ابتدای سال جاری میلادی، محققات مؤسسهی Trend Micro، یک کمپین نفوذ مرتبط با تروجان بانکی Anubis کشف کردند. تیم تحقیقاتی، ۲ اپلیکیشن در گوگل پلی استور پیدا کردند که میزبان آن بدافزار بودند. یکی از اپلیکیشنها مبدل ارز و دیگری، ابزاری برای بهبود مصرف انرژی بود. تروجان مذکور، بهمحض جابهجایی دستگاه کاربر، عملیات خود را شروع میکرد. مجرمان سایبری در تروجان فوق از حسگرهای حرکتی استفاده کرده بودند تا کشف شدن توسط محققان در فضاهای آزمایشی Sandbox را تقریبا غیرممکن کنند.
منبع : زومیت