بدافزار Retefe دوباره ظاهر شد؛ خطر حمله واناکرای به بانک های سوئیس!

EternalBlue که توسط NSA طراحی و به وسیله یک گروه هکری شناسایی شد، یک نقص امنیتی در سیستم عامل ویندوز است که با استفاده از قابلیت‌های کرم-گونه خود از نسخه خاصی از پروتکل شبکه پیام سرور (SM) برای توزیع شدن در شبکه‌های آلوده استفاده می‌کند.

حمله باج‌افزاری WannaCry با استفاده از همین EternalBlue در ماه مه (اردیبهشت) توانست به سرعت خود را در سراسر جهان پخش کند. اکنون این ابزار به الگویی برای سایر بدافزارها تبدیل شده و صاحبان بدافزار Retefe می‌خواهند از آن برای سرقت اطلاعات و پول‌های نقد بانک‌های سوئیسی استفاده کنند.

بدافزار Retefe که از سال ۲۰۱۳ کار خود را شروع کرده یک تروجان بانکی است که به اندازه بدافزارهایی مثل Dridex بدنام نیست، ولی بانک‌هایی در انگلیس، سوئیس، اتریش، سوئد و ژاپن را هدف قرار داده است. کاربران مک هم از جمله کسانی هستند که تحت حملات این ابزار قرار گرفته‌اند.

برخلاف سایر تروجان‌های بانکی که برای ربودن جلسات بانکی آنلاین از تکنیک Webinject استفاده می‌کنند، Retefe ترافیک‌های ورودی و خروجی بانک‌های هدف را از طریق سرورهایی که در شبکه پروکسی TOR میزبانی شده هدایت می‌کند. این سایت‌های پروکسی که ظاهری شبیه به صفحه ورود بانک‌های مورد نظر دارند، اطلاعات قربانی را می‌دزدند و به حساب آنان دسترسی پیدا می‌کنند.

بدافزار Retefe معمولاً به واسطه ایمیل‌های فیشینگی منتقل می‌شوند که اسکریپت‌های شل (Shell) خود را در قالب اسناد مایکروسافت آفیس عرضه می‌کنند، اما با این وجود گاهی اوقات این فایل‌ها حاوی ماکروهای مخرب هم هستند. اگر کاربر این فایل را اجرا کند، یک دستور PowerShell برنامه مخرب را اجرا کرده و کد را نصب می‌کند.

اکنون محققان Proofpoint کشف کرده‌اند که این برنامه شامل تنظیماتی برای پیکربندی EternalBlue و کدهایی است که به طور عمومی برای این اکسپلویت در GitHub آپلود شده بود. حالا از این ابزار برای دانلود اسکریپت PowerShell-ای استفاده می‌شود که بدافزار Retefe را نصب می‌کند.

بدافزار Retefe با بهره‌گیری از EternalBlue می‌تواند به سرعت در این شبکه‌ها پخش شود. تا پیش از این، ابزار مذکور ماژولی که برای پخش شدن لازم بود را نداشت. با این حال، محققان می‌گویند که مهاجمان پشت Retefe احتمالاً در حال آزمایش EternalBlue هستند و به زودی نسخه کامل ابزار مخرب خود را منتشر خواهند کرد.

محققان Proofpoint نوشته‌اند: «احتمال دارد که تا سال ۲۰۱۸ با اضافه شدن قابلیت‌های تکثیر در شبکه دوباره شاهد جان گرفتن این تهدیدات باشیم».

البته صاحبان بدافزار Retefe تنها کسانی نیستند که می‌خواهند از EternalBlue برای تقویت بدافزارهای خود استفاده کنند. بدافزار Trickbot هم در حال آزمایش این اکسپلویت است.

به دنبال انتشار عمومی ابزارهای هک NSA، مایکروسافت با انتشار چندین پچ برای محافظت از کاربران در برابر حملاتی که از EternalBlue استفاده می‌کردند، اقدام کرد.

با این وجود، همان طور که آثار بدافزار WannaCry نشان داد، هنوز هم خیلی از شرکت‌ها این به‌روزرسانی‌های مهم را دریافت نکرده‌اند و در برابر ابزارهای مجهز به این اکسپلویت، آسیب‌پذیر و مستعد خطر هستند.