تروجان TrickBot که به گروه Dyre نسبت داده می‌شود، اولین بار مهرماه امسال مشاهده شد. این تروجان در حال حاضر کاربران در سنگاپور، هند و مالزی را هدف قرار داده است.

این بدافزار حاوی کدهایی است که باعث می‌شود محققان امنیتی فکر کنند توسط گروهی که قبلاً تروجان Dyre را توسعه و گسترش داده، ایجاد شده است. بدافزار Dyre قبلاً کاربران در استرالیا، نیوزیلند و آلمان را هدف قرار داده بود. از همین ابتدا مشاهده شده که TrickBot دارای قابلیت‌های حمله‌ی تغییر مسیر است و در تلاش است حضور خود در عرصه‌ی تهدیدات مجازی را گسترش دهد.

این بدافزار عملیات خود در کشورهایی که در آن‌ها فعال بوده را افزایش داده و علاوه بر آن به ۳ کشور آسیایی ذکرشده نیز گسترش یافته است. 

دلیل اصلی که سنگاپور توجه مهاجمان سایبری را به خود جلب کرده این است که باوجود استفاده از زبان چینی در این کشور، سازمان‌های تجاری به زبان انگلیسی باهم در ارتباط هستند. بنابراین نیازی نیست مهاجمان ابزارها و هرزنامه‌های خود را با زبان جدیدی تطبیق دهند.

TrickBot برای تمرکز بر روی حساب‌های تجاری، بانک‌های شرکتی و تجاری و مدیریت پول در تمام بانک‌ها طراحی شده است. این بدافزار طوری پیکربندی شده که بانک‌های تجاری در هند و مالزی را نیز هدف قرار می‌دهد. محققان امنیتی حدس می‌زنند مهاجمان بدنبال سرقت پول نقد از این کشورها هستند.

نویسندگان این بدافزار بر روی ایجاد یک حمله‌ی تغییر مسیر جدید تمرکز دارند. محققان امنیتی متوجه شدند در پیکربندی‌های اخیر به ۵۸ درصد از آدرس‌های URL حمله‌ی تغییر مسیر انجام شده است. این بدافزار قبلاً به ۳۵ درصد از آدرس‌های URL هدف تغییر مسیر انجام می‌داد.

محققان می‌گویند برخلاف TrickBot سایر تروجان‌ها حملات تغییر مسیر خود را کاهش داده و یا حذف کرده‌اند. قبلاً مشاهده شده بود که بدافزار Dridex نیز مانند GozNym از حملات تغییر مسیر استفاده می‌کند ولی اخیرا مشاهده شده که نرخ این حملات را به ۱۲ درصد کاهش داده و یا در برخی از مناطق جغرافیایی حذف کرده است.

در این حملات، مهاجمان نمونه‌ی مشابهی از وب‌گاه بانک‌ها را ایجاد کرده و به نوعی کاربران را متقاعد می‌کنند تا گواهی‌نامه‌های ورود و داده‌های احراز هویت دو-مرحله‌ای خود را وارد کنند. در برخی نمونه‌ها مشاهده شده مهاجمان از آدرس URL و گواهی‌نامه‌ی SSL بانک استفاده کرده‌اند که باعث می‌شود کاربر بیشتر به وارد کردن اطلاعات خود متقاعد شود.

این روش از سال ۲۰۱۴ بین تروجان‌های بانکی بسیار محبوب شد، زمانی‌که گروه Dyre از این حملات در حمله به بانک‌های آمریکا، استرالیا و اسپانیا استفاده کرد. بعد از تروجان Dyre نیز بدافزار Dridex از این شیوه استفاده کرد و بات‌نت TrickBot آخرین نمونه‌ی استفاده از حملات تغییر مسیر است.

محققان امنیتی می‌گویند: «حملات تغییر مسیر معمولاً توسط گروه‌های مهاجم با سازمان‌دهی خاص انجام می‌شود. این گروه‌ها دارای توسعه‌دهندگانی هستند که در منزل نشسته‌اند و برای هریک از اهداف خود، وب‌گاه جعلی را آماده، راه‌اندازی و نگهداری می‌کنند.»

منبع: وب‌گاه اخبار امنیتی فن‌آوری اطلاعات و ارتباطات | asis

گردآوری و انتشار : آنتی ویروس دکتر وب