سائبرسیکیوریٹی کے محققین نے بینکاری مارکیٹ میں اپنی نوعیت کا بالکل نیا ٹروجن دریافت کیا ہے۔ ٹروجن غلط سرگرمی کو قبول کرنے میں سیکیورٹی ٹولز کو چالنے کے لئے حقیقی وی ایم ویئر بائنری کا استعمال کرتا ہے۔ سسکو ٹالوس نے کہا کہ محققین نے حال ہی میں برازیل میں مالویئر کی نئی مہم کو دیکھا۔ اس کارروائی میں جنوبی امریکہ کے بینکاری کے شعبے کو نشانہ بنایا گیا ہے اور وہ غیر قانونی مالی فائدہ کے ل users صارفین کے ذاتی اعداد و شمار سے فائدہ اٹھانا چاہتے ہیں۔
ٹروجن ایک جائز عمل معلوم ہوتا ہے اور یہ پایا گیا ہے کہ میلویئر غیر فعال رہنے کے لئے بہت سی نفیس تکنیکوں کا بھی استعمال کرتا ہے۔ ایک جائز عمل کے طور پر بہانا کے علاوہ ، ٹروجن چھپی رہنے کے لئے بہت ساری تکنیک استعمال کرتا ہے۔
مزید پڑھیں: ٹروجن آپ کو کیسے متاثر کرتا ہے؟
نیا بینکنگ ٹروجن بڑے پیمانے پر پرتگالی زبان میں لکھے گئے اسپام پیغامات کو پھیلاتے ہوئے اس عمل کا آغاز کرتا ہے ، اور یہ پیش گوئی کی جاتی ہے کہ صارفین آسانی سے اپنی مادری زبان میں لکھے گئے ای میل کو کھولنے کے لالچ میں آسکتے ہیں۔ مجرم ان ای میلوں کا استعمال افراد کو بولیٹو انوائس ، جو برازیل کے معروف ادائیگی طریقہ کے لئے ہیں ، کھولنے کے لئے آمادہ کرتے ہیں۔ انوائس میں ایک غلط فائل ہے جس میں یو آر ایل ہے ، جب کلک کیا جاتا ہے تو ، اسے goo.gl یو آر ایل شارٹینر پر بھیج دیا جاتا ہے۔ اس کے بعد صارفین کو RAR لائبریری میں ری ڈائریکٹ کیا جاتا ہے جس میں JAR فائل ہوتی ہے۔
ایک بار جب آپ اس JAR فائل پر دوبار دبائیں تو ، ایک جاوا فائل لوڈ ہو جائے گی جو بدنیتی پر مبنی کوڈ کو نافذ کرتی ہے اور بینکاری ٹروجن کو انسٹال کرتی ہے۔ جاوا کوڈ ریموٹ سرور اور اضافی فائلوں کو ڈاؤن لوڈ کرنے کے نظام کے مابین ایک رابطہ قائم کرتا ہے۔ کوڈ ڈاؤن لوڈ کردہ بائنریوں کا نام بدل دیتا ہے اور VMware (دستخط شدہ) سے VM.png سے VMware ڈیجیٹل دستخط کے ذریعہ اصلی بائنری چلاتا ہے۔
پھانسی دی گئی بائنری کی انحصار میں سے ایک vmwarebase.dll ہے جو ایک درنساوناپورن فائل ہے جو ایکسپلور ایکس یا نوٹ پیڈ ڈاٹ ایکس ای میں پی آر ایس پی کوڈ کو انجیکشن دینے اور اس پر عمل کرنے کے لئے استعمال ہوتی ہے۔ اس سے بینکنگ ٹروجن کا مرکزی ماڈیول بوجھ پڑتا ہے جس میں بہت سارے کام ہوتے ہیں۔ ماڈیول ایک آٹو اسٹارٹ رجسٹری کی کلید تشکیل دیتا ہے اور آپ کو یہ معلوم کرنے کی اجازت دیتا ہے کہ آیا برازیل کے کسی بھی مالیاتی ادارے کے ساتھ اس فہرست کا استعمال کیا جا رہا ہے جس میں برازیل کا ایک ہدف مالیاتی ادارہ ہے۔
مرکزی ماڈیول کے ذریعہ ایک اور کام انجام دیا گیا ہے تاکہ rundll32.exe کے ساتھ جدید ترین بائنری gps.png (اس سے پہلے .drv توسیع کے ساتھ نام تبدیل کیا گیا تھا) چلایا جائے۔ یہ بائنری سیکیورٹی ٹول سے بھری ہوئی ہے جس کی وجہ سے خطرے کو ختم کرنا مشکل ہوجاتا ہے۔