اكتشف باحثو الأمن السيبراني حصان طروادة جديد تمامًا من نوعه في السوق المصرفية. يستخدم حصان طروادة برنامج VMware ثنائي أصلي لخداع أدوات الأمان لقبول نشاط خاطئ. قالت شركة سيسكو تالوس إن الباحثين درسوا مؤخرًا حملة البرمجيات الخبيثة الجديدة في البرازيل. تستهدف العملية القطاع المصرفي في أمريكا الجنوبية وتسعى إلى استغلال البيانات الشخصية للمستخدمين لتحقيق مكاسب مالية غير مشروعة.
يبدو أن طروادة عملية شرعية وقد تم اكتشاف أن البرمجيات الخبيثة يستخدم أيضا مجموعة واسعة من التقنيات المتطورة لتبقى غير نشطة. بالإضافة إلى تمويه نفسها كعملية شرعية، طروادة يستخدم مجموعة واسعة من التقنيات لتبقى مخفية.
في العمق: كيف طروادة تصيب لك؟
يبدأ حصان طروادة المصرفي الجديد العملية عن طريق نشر رسائل البريد العشوائي المكتوبة باللغة البرتغالية على نطاق واسع ، متوقعاً أنه يمكن بسهولة إغراء المستخدمين بفتح بريد إلكتروني مكتوب بلغتهم الأم. يستخدم المجرمون رسائل البريد الإلكتروني هذه لإغراء الأفراد بفتح فاتورة Boleto ، وهي طريقة دفع برازيلية معروفة. تحتوي الفاتورة على ملف ضار بعنوان URL والذي ، عند النقر عليه ، يتم إعادة توجيهه إلى goo.gl URL shortener. ثم يتم إعادة توجيه المستخدمين إلى مكتبة RAR التي تحتوي على ملف JAR.
بمجرد النقر نقرًا مزدوجًا فوق ملف JAR هذا ، سيتم تحميل ملف java الذي يقوم بتنفيذ التعليمات البرمجية الضارة وتثبيت حصان طروادة المصرفي. ينشئ كود Java ارتباطًا بين الخادم البعيد والنظام لتنزيل ملفات إضافية. يعيد الرمز تسمية الثنائيات التي تم تنزيلها وينفذ ثنائيًا حقيقيًا من vm.png من VMware (موقع) بتوقيع رقمي من VMware.
أحد تبعيات الملف الثنائي المنفذ هو vmwarebase.dll وهو ملف ضار يستخدم لحقن وتشغيل كود prs.png في explorer.exe أو notepad.exe. يقوم هذا بتحميل الوحدة الرئيسية من طروادة المصرفية التي تحتوي على العديد من الوظائف. تقوم الوحدة بإنشاء مفتاح تسجيل تلقائي وتتيح لك معرفة ما إذا كان المستخدمون يتفاعلون مع أي مؤسسة مالية في البرازيل باستخدام القائمة في النموذج الذي يحتوي على مؤسسة مالية مستهدفة في البرازيل.
هناك مهمة أخرى تؤديها الوحدة الرئيسية وهي تشغيل أحدث إصدار من نظام تحديد المواقع العالمي (gps.png) الثنائي (تمت إعادة تسميته سابقًا بامتداد .drv) باستخدام rundll32.exe. هذا الثنائي مليء بأداة أمنية تجعل من الصعب القضاء على التهديد.