محققان امنیت سایبری یک تروجان کاملاً جدید را در نوع خود در بازار بانکی کشف کرده اند. Trojan از باینری واقعی VMware برای فریب ابزارهای امنیتی برای پذیرش فعالیت اشتباه استفاده می کند. سیسکو تالوس گفت که محققان اخیراً فعالیت جدید بدافزار را در برزیل بررسی کرده اند. این عملیات بخش بانکی آمریکای جنوبی را هدف قرار داده و به دنبال بهره برداری از داده های شخصی کاربران برای منافع مالی غیرقانونی است.
تروجان به نظر می رسد یک فرآیند قانونی است و کشف شده است که نرم افزارهای مخرب همچنین از طیف گسترده ای از تکنیک های پیشرفته برای غیر فعال بودن استفاده می کنند. علاوه بر پنهان کردن خود به عنوان یک فرایند مشروع، تروجان از طیف گسترده ای از تکنیک ها برای مخفی شدن استفاده می کند.
در عمق: چگونه تروجان شما را آلوده می کند؟
Trojan جدید بانکی این روند را با انتشار پیام های هرزنامه نوشته شده به زبان پرتغالی به طور گسترده آغاز می کند و پیش بینی می کند که کاربران می توانند به راحتی وسوسه شوند تا ایمیلی را که به زبان مادری آنها نوشته شده باز کنند. مجرمان با استفاده از این ایمیل ها افراد را ترغیب می کنند تا فاکتور Boleto ، روش پرداخت معروف در برزیل را باز کنند. فاکتور حاوی یک فایل مخرب با یک URL است که با کلیک بر روی آن ، به یک کوتاه کننده URL goo.gl هدایت می شوید. سپس کاربران به کتابخانه RAR که شامل یک پرونده JAR است هدایت می شوند.
هنگامی که بر روی آن پرونده JAR دوبار کلیک کنید ، یک فایل java بارگیری می شود که کد مخرب را اجرا می کند و Trojan banking را نصب می کند. کد جاوا پیوندی بین سرور از راه دور و سیستم برای بارگیری پرونده های اضافی ایجاد می کند. کد باینری های بارگیری شده را تغییر نام می دهد و یک باینری واقعی از vm.png از VMware (امضا شده) با امضای دیجیتال VMware اجرا می کند.
یکی از وابستگی های باینری اجرا شده vmwarebase.dll است که یک فایل مخرب است که برای تزریق و اجرای کد prs.png در explorer.exe یا notepad.exe استفاده می شود. این ماژول اصلی Trojan banking را بارگیری می کند که شامل بسیاری از توابع است. این ماژول یک کلید رجیستری خودکار شروع می کند و به شما امکان می دهد دریابید که آیا کاربران با هر موسسه مالی در برزیل ارتباط برقرار می کنند با استفاده از لیست موجود در فرم حاوی یک موسسه مالی هدفمند در برزیل.
وظیفه دیگری که توسط ماژول اصلی انجام می شود اجرای آخرین باینری gps.png (که قبلاً با پسوند .drv تغییر نام داده شده بود) با rundll32.exe است. این باینری با یک ابزار امنیتی همراه است که نابودی تهدید را دشوار می کند.