فعالیت تروجان بانکی جدید به‌کمک adobe reader

خلاصه: محققان به‌تازگی بدافزاری را کشف کرده‌اند که از طریق adobe reader توزیع شده و به دزدیدن پول از حساب بانکی قربانیان می‌پردازد. این بدافزار با جایگزین کردن صفحه‌ی وب بانک با یک فرم احراز اصالت جعلی مخرب، اطلاعات قربانی را برای مهاجمان می‌فرستد. روش جایگزین محتوای اصلی صفحات وب، توسط بسیاری از تروجان‌های بانکی استفاده می‌شود، این نوع بدافزارها به یکی از تهدیدات سایبری در سرتاسر جهان تبدیل شده‌اند.

بدافزار بانکی تازه کشف شده که از طریق adobe reader توزیع می‌شود، از حساب بانکی قربانی دزدی می‌کند.

یک محقق بیش از 300 نمونه‌ی منحصربه‌فردکه توسط 200 سرور هک شده استفاده می‌شوند را کشف کرده است، این نموته‌ها از حساب بانکی قربانیان و به‌طور ویژه از مشتریان موسسات اعتباری برزیل دزدی می‌کنند.

این بدافزار تلاش می‌کند تا تشخیص دهد که آیا سیستم آلوده شده تحت یک محیط مجازی اجرا می‌شود یا نه، اگر پاسخ مثبت باشد، به‌صورت خودکار، خود را متوقف می‌کند. همچنین از جمله قابلیت‌های آن می‌توان به این اشاره کرد که تنظیمات زبان ویندوز را بررسی کرده و در صورتی که زبان پرتغالی بر روی آن فعال باشد، از آلودگی سیستم جلوگیری می‌کند.

محققان Dr.Web این بدافزار را Trojan.PWS.Banker1.28321 نامیده، این بدافزار با نام adobe reader راه اندازی می‌شود.

آلودگی این بدافزار با رها کردن اپلیکیشن‌های ادوبی ریدر مخرب بر روی سیستم قربانی شروع می‌شود، سپس این اپلیکیشن‌ها به رها کردن اسکریپت‌های VBscript بر روی سیستم می‌پردازند.

این بدافزار با اتصال به سرور کنترل و فرمان مهاجمان دو فایل زیپ را از آن دانلود می‌کند. براساس تحلیل‌ها، یکی از فایل‌ها حاوی کتابخانه‌ی داینامیک مبهم‌شده‌ای است که شامل تابع‌های اصلی برنامه می‌باشد.

بعد از کامل شدن فرآیند آلودگی، هنگامی که قربانیان، وب‌سایت‌های بانکی را باز می‌کنند، این بدافزار صفحه‌ی وب اصلی را با یک فرم احراز اصالت جعلی مخرب جایگزین می‌کند.

در پایان این بدافزار درخواست وارد کردن یک کد که از طرف بانک ارسال می‌شود را کرده و آن را برای مهاجم ارسال می‌کند.

روش جایگزین محتوای اصلی صفحات وب، توسط بسیاری از تروجان‌های بانکی استفاده می‌شود، این نوع بدافزارها به یکی از تهدیدات سایبری در سرتاسر جهان تبدیل شده‌اند.