نیوزتل
اخبار فناوری و موبایل
به گزارش نیوزتل مرکز مدیریت راهبردی افتا نسبت به سرقت اطلاعات احراز هویت کاربران با به روز شدن تروجان Adwind اخطار داد.
به گزارش نیوزتل به نقل از مرکز مدیریت راهبردی افتای ریاست جمهوری، مجرمین سایبری، با پنهان سازی رفتار مخرب تروجان Adwind با استفاده از دستورات مجاز جاوا، اطلاعات احراز هویت بانکی، برنامه های تجاری و هرگونه پسورد ذخیره شده در یک مرورگر کاربران را به سرقت می برند.
این بدافزار که با اسامی AlienSpy و jRAT هم شناخته می شود، می تواند چندین سیستم عامل را هدف قرار دهد و به صورت معمول قربانیان را از راه ایمیل های فیشینگ، فایل نصبی مخرب نرم افزارها یا وب سایت های مخرب، انتخاب و آلوده می کند.
نوع جدیدی از این بدافزار به تازگی شناسایی شده که سیستم عامل ویندوز و برنامه های متداول ویندوز همچون Internet Explorer و Outlook را همراه با مرورگرهای مبتنی بر Chromium، هدف قرار می دهد.
جدیدترین نوع Adwind توسط یک فایل JAR منتقل می شود و هدف آن در پشت چندین لایه مبهم سازی و رمزگذاری شده قرار دارد که سبب ناکارآمدی تشخیص مبتنی بر امضا می شود.
هنگامی که بدافزار فهرست آدرس های سرور فرمان و کنترل را باز کند، Adwind فعال شده و قادر به دریافت دستورالعمل ها و ارسال اطلاعات سرقت شده همچون اطلاعات احرازهویت بانکی، برنامه های تجاری و هرگونه پسورد ذخیره شده در یک مرورگر، به سرور میزبان است.
در آخرین نسخه Adwind، عملکرد بدافزار با استفاده از دستورات جاوا مخفی می شود. توسعه دهندگان بدافزار این کار را با مخفی کردن فایل های JAR مخرب در میان برخی از برنامه JAR مشروع انجام دادند و با استفاده از رمزگذاری، تشخیص فایل JAR اولیه و بارگذاری فایل های JAR اضافی از یک سرور از راه دور را دشوار کردند. تمامی این موارد تشخیص فعالیت غیر طبیعی را دشوار می کنند.
فعالیت مخرب Adwind زمانی قابل شناسایی است که اطلاعات به سرقت رفته در حال ارسال به سرور از راه دور هستند. بدافزار طی این فرآیند از دستوراتی غیر از جاوا استفاده می نماید. با این وجود، در این مرحله صدمه مورد نظر بدافزار به پایان رسیده است.
مجرمین سایبری، گونه ای از تروجان Adwind را بیشتر از ۵ سال برای سرقت اطلاعات احراز هویت، ثبت رخدادهای صفحه کلید، ضبط صدا و سایر اطلاعات مربوط به قربانیان استفاده می کردند.
کارشناسان معاونت بررسی مرکز افتا می گویند: بررسی ترافیک وب و ایمیل از طریق کارهایی است که می تواند برای شناسایی تروجان Adwind و چنین بدافزارهایی به کار رود.
