کد خبر:1134523
اشتراک گذاری
مرتب‌سازی نظرها براساس:

بدافزار Retefe دوباره ظاهر شد؛ خطر حمله واناکرای به بانک های سوئیس!

بدافزار Retefe

رسانه کلیک – بدافزار Retefe که پیش‌تر به بانک‌ها حمله کرده بود دوباره سر و کله‌اش پیدا شده اما این بار می‌خواهد با استفاده از نقص امنیتی EternalBlue موسسات مالی سوئیس را هدف قرار دهد.

EternalBlue که توسط NSA طراحی و به وسیله یک گروه هکری شناسایی شد، یک نقص امنیتی در سیستم عامل ویندوز است که با استفاده از قابلیت‌های کرم-گونه خود از نسخه خاصی از پروتکل شبکه پیام سرور (SM) برای توزیع شدن در شبکه‌های آلوده استفاده می‌کند.

حمله باج‌افزاری WannaCry با استفاده از همین EternalBlue در ماه مه (اردیبهشت) توانست به سرعت خود را در سراسر جهان پخش کند. اکنون این ابزار به الگویی برای سایر بدافزارها تبدیل شده و صاحبان بدافزار Retefe می‌خواهند از آن برای سرقت اطلاعات و پول‌های نقد بانک‌های سوئیسی استفاده کنند.

بدافزار Retefe که از سال ۲۰۱۳ کار خود را شروع کرده یک تروجان بانکی است که به اندازه بدافزارهایی مثل Dridex بدنام نیست، ولی بانک‌هایی در انگلیس، سوئیس، اتریش، سوئد و ژاپن را هدف قرار داده است. کاربران مک هم از جمله کسانی هستند که تحت حملات این ابزار قرار گرفته‌اند.

برخلاف سایر تروجان‌های بانکی که برای ربودن جلسات بانکی آنلاین از تکنیک Webinject استفاده می‌کنند، Retefe ترافیک‌های ورودی و خروجی بانک‌های هدف را از طریق سرورهایی که در شبکه پروکسی TOR میزبانی شده هدایت می‌کند. این سایت‌های پروکسی که ظاهری شبیه به صفحه ورود بانک‌های مورد نظر دارند، اطلاعات قربانی را می‌دزدند و به حساب آنان دسترسی پیدا می‌کنند.

بدافزار Retefe معمولاً به واسطه ایمیل‌های فیشینگی منتقل می‌شوند که اسکریپت‌های شل (Shell) خود را در قالب اسناد مایکروسافت آفیس عرضه می‌کنند، اما با این وجود گاهی اوقات این فایل‌ها حاوی ماکروهای مخرب هم هستند. اگر کاربر این فایل را اجرا کند، یک دستور PowerShell برنامه مخرب را اجرا کرده و کد را نصب می‌کند.

اکنون محققان Proofpoint کشف کرده‌اند که این برنامه شامل تنظیماتی برای پیکربندی EternalBlue و کدهایی است که به طور عمومی برای این اکسپلویت در GitHub آپلود شده بود. حالا از این ابزار برای دانلود اسکریپت PowerShell-ای استفاده می‌شود که بدافزار Retefe را نصب می‌کند.

بدافزار Retefe با بهره‌گیری از EternalBlue می‌تواند به سرعت در این شبکه‌ها پخش شود. تا پیش از این، ابزار مذکور ماژولی که برای پخش شدن لازم بود را نداشت. با این حال، محققان می‌گویند که مهاجمان پشت Retefe احتمالاً در حال آزمایش EternalBlue هستند و به زودی نسخه کامل ابزار مخرب خود را منتشر خواهند کرد.

محققان Proofpoint نوشته‌اند: «احتمال دارد که تا سال ۲۰۱۸ با اضافه شدن قابلیت‌های تکثیر در شبکه دوباره شاهد جان گرفتن این تهدیدات باشیم».

البته صاحبان بدافزار Retefe تنها کسانی نیستند که می‌خواهند از EternalBlue برای تقویت بدافزارهای خود استفاده کنند. بدافزار Trickbot هم در حال آزمایش این اکسپلویت است.

به دنبال انتشار عمومی ابزارهای هک NSA، مایکروسافت با انتشار چندین پچ برای محافظت از کاربران در برابر حملاتی که از EternalBlue استفاده می‌کردند، اقدام کرد.

با این وجود، همان طور که آثار بدافزار WannaCry نشان داد، هنوز هم خیلی از شرکت‌ها این به‌روزرسانی‌های مهم را دریافت نکرده‌اند و در برابر ابزارهای مجهز به این اکسپلویت، آسیب‌پذیر و مستعد خطر هستند.

نظرها

سر‌خط آخرین خبرها

خبرهای بیشتر
به مشتریان خارجی خود بگوئید ایتا و سروش نصب کنند!

با اعلام رسمی وزیر ارتباطات، به نظر می رسد پرونده فیلتر دائمی اینستاگرام و...

وزیر ارتباطات آب پاکی را روی دستان کسب و کارهای اینستاگرامی ریخت

عیسی زارع پور در جدیدترین مصاحبه خود آب پاکی را روی دست کسب و کارهایی که در...

چرا مردم ایران حضور در پیام رسان های داخلی را دوست ندارند؟

پیام‌رسان‌ها و پلتفرم‌های خارجی از جمله واتساپ و اینستاگرام در چند روز...

شناسایی دو حفره امنیتی خطرناک در واتساپ

دو باگ امنیتی خطرناک در واتساپ شناسایی شد.

ماجرای هک سرورهای همراه اول و صفر شدن صورتحساب ها چه بود؟

اخیرا بعضی از مشترکان اپراتور همراه اول با انتشار تصاویری از صورتحساب خود،...

آموزش نحوه فعالسازی اشتراک موقعیت مکانی لحظه ای (Live) در گوگل مپس
آموزش نحوه فعالسازی اشتراک موقعیت مکانی لحظه ای (Live) در گوگل مپس

در ادامه این مطلب آموزش نحوه فعالسازی اشتراک موقعیت مکانی لحظه ای (Live) در گوگل...

تحریم گوگل چت برای کاربران ایرانی برداشته شد

بررسی‌ها نشان می‌دهد به تازگی اپلیکیشن Google Chat برای کاربران ایرانی در دسترس...

ایلان ماسک: اینترنت ماهواره ای استارلینک هم اکنون در ایران فعال است
ایلان ماسک: اینترنت ماهواره ای استارلینک هم اکنون در ایران فعال است

کریم سجادپور در خصوص آخرین وضعیت فعالسازی اینترنت ماهواره ای استارلینک در...

لیست سایت ها و اپلیکیشن هایی که در روزهای اخیر فیلتر شدند

پلتفرم هایی که طی روزهای اخیر تا این لحظه پس از اعمال محدودیت در دسترسی به...

هک سایت های دولتی تکذیب شد
هک سایت های دولتی تکذیب شد

مرکز ملی فضای مجازی اعلام کرد ادعاهای اخیر گروه انانیموس درخصوص حملات سایبری...