به گزارش بانک اول به نقل از خبرگزاری ایسنا، محققان سیسکو یک کمپین بدافزاری را شناسایی کردهاند که از باینری VMware قانونی برای انتشار تروجان بانکی استفاده میکند. عاملان این کمپین برای اینکه ناشناس بمانند، از روشهای متعددی برای آلودهسازی دستگاههای قربانیان استفاده و چندین روش ضد تجزیه و تحلیل را نیز پیادهسازی کردهاند. این بدافزار در محیط Delphi که بهتازگی برای تروجانهای بانکی استفاده میشود، نوشته شده است.
این کمپین بهطور عمده کاربران برزیلی را هدف قرار میدهد. مهاجمان از هرزنامههای (spam) مخربی استفاده میکنند که حاوی پیامهایی به زبان پرتغالی است و سعی میکند قربانی را متقاعد سازد که یک پیوست HTML مخرب را که بهصورت صورتحساب نمایش داده میشود، باز کند. دریافت پست الکترونیکی به زبان مادری باعث میشود تا مهاجمان با احتمال بیشتری به هدف خود برسند
فایل HTML، شامل یک آدرس اینترنتی است که ابتدا به آدرس goo.gl و سپس به یک آرشیو RAR حاوی یک فایل JAR هدایت میشود. با توجه به گزارش وبسایت مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانهای) اگر کاربر دو بار روی فایل JAR کلیک کند، جاوا کد مخربی را اجرا و شروع به نصب تروجان بانکی خواهد کرد. کد جاوا ابتدا محیط کاری بدافزار را راهاندازی میکند، سپس فایلهای اضافی را از یک کارگزار از راه دور دانلود میکند.
هنگامیکه باینریها توسط کد جاوا دانلود شدند، نام آنها به باینری قانونی VMware تغییر داده میشود و این باینری قانونی را VMware اجرا میکند. بدین ترتیب برنامههای امنیتی فکر میکنند که VMware کتابخانههای قابل اعتمادی را استفاده کرده است. یکی از این کتابخانهها، فایل مخربی به نام vmwarebase.dll است که برای تزریق و اجرای کد در Explore.exe و notpad.exe استفاده میشود. ماژول اصلی (کد برنامهنویسیشده) این تروجان بانکی برای پایاندادن به فرایندهای ابزار تجزیه و تحلیل و ایجاد کلید رجیستری خودکار، طراحی شده است.
این ماژول همچنین میتواند عنوان پنجرهٔ پیشزمینهٔ کاربر را به دست آورد؛ بنابراین میتواند هر یک از پنجرههای مربوط به مؤسسهٔ مالی هدف واقع در برزیل را شناسایی کند. باینری دیگری که این ماژول بارگذاری میکند، با استفاده از Themida بستهبندی شده است. این امر تجزیه و تحلیل باینری را بسیار دشوار میسازد. همچنین مشاهده شده است که هر بار که عملی بر روی سیستم آلوده انجام میشود، این بدافزار رشتههای خاصی را به کارگزار کنترل و فرمان، ارسال میکند.
سود مالی انگیزهٔ بزرگی برای مهاجمان است و به همین دلیل، بدافزارها در حال تکامل هستند. استفاده از بسترهای بستهبندی تجاری مانند Themida، تجزیه و تحلیل را برای تحلیلگران دشوار میسازد و نشان میدهد که برخی از مهاجمان مایل هستند این بستهبندهای تجاری را بهدست آورند تا مانع از تحلیل شوند.
دیدگاه خود را با ما در میان بگذارید