به گزارش ESET :
اگر به تازگی ایمیلی غیر منتظره محتوی یک فایل زیپ دریافت کرده اید ،این ایمیل می تواند تهدیدی برای سرقت اطلاعات بانکی شما باشد.
Waski اصطلاحا یک تروجان دانلود کننده است. این بد افزار معمولا یک برنامه کوچک است که بد افزارهای اضافه ای را دانلود و برروی کامپیوتر شما راه اندازی می کند. بر طبق آمارهای جدید، Waski یکی از تهدید کننده ترین در نوع خود است. بعد از شیوع گسترده در سوئیس و آلمان در طی چند هفته ی گذشته، هم اکنون آلودگی و گستردگی آن در کشورهای انگلیسی زبان ، استرالیا، نیوزلند، ایرلند،… مشاهده میشود.
از ابتدای 2015 افزایش قابل توجه در شناسایی آلودگی به این بدافزار مشاهده می شود. این موضوع تصادفی نیست و نشان میدهد که مجرمان هرچه بیشتر و بیشتر از Waski به عنوان توزیع کننده بد افزار ها در اینترنت استفاده می کنند.
همه چیز با یک ایمیل به نظر بی ضرر آغاز می شود.
یک قربانی بالقوه ایمیلی به همراه یک فایل زیپ در قسمت spam خود دریافت می کند. موضوع ایمیل به انگلیسی است و شامل عباراتی کوتاه است.
نمونه بالا یک ایمیل معمولی که به وسیله Waski گسترش یافته است را نشان می دهد. در این مثال این mail به طور فرضی توسط یک شرکت ارسال شده است. پیوست ایمیل حامل یک فایل زیپ است که حامل فایل Waski است. وقتی که شروع به فعالیت می کند نرم افزارهای مخرب را از وبسایت از پیش تعیین شده دانلود می کند.
Waski تروجان بانکداری آنلاین دانلود می کند
Waski به طور گسترده ای به وسیله ی مجرمان برای گسترش بد افزارها استفاده میشود و بنابراین مجموعه ای از بدافزار ها رادانلود می کند. نوع به خصوصی از آن که ما مورد بررسی قرار داده ایم تروجان بانکیbatdil را دانلود می کند.
Waski با یک فایل اجرایی pdf می آید. وقتی شروع به کار می کند، بد افزار ipعمومی قربانی را از طریق درخواست آن از checkup چک می کند. با استفاده از این ip و اطلاعات دیگر کامپیوتر قربانی (نام کامپیوتر، ورژن ویندوز، شماره سرویس پک) یک شناسایی ویژه پدید آمده و به سرور کنترل و دستور Waski ارسال می شود.
بعد از آن، Waski یک فایل رمزگذاری شده (از یک سایت توافق شده)که حاوی یک فایل pdf گسترش یافته است را دانلود می کند. اما آن یک فایل pdf سالم نیست، در عوض ترکیبی از یک بد افزار win32/battdilو یک فایل pdfاست. سپس دوباره Waski با سرور اصلی خود ارتباط برقرار کرده و گزارش موفقیت را می دهد .
battdil چه کاری انجام می دهد.
Win32/battdil شامل دو بخش است : یک وارد شونده و یک بارگذار(payload). وارد شونده (injector) شامل یک فایل exe است و payload شامل یک فایل dll که در فایل اصلی ذخیره می شود. اغلب، وظیفه injector این است که فایل های dll payload را وارد فرآیندهای ویندوز نماید. همانطوری که ما در win32/batdill می بینیم.
حالا payload شروع به فعالیت می کند. این توانایی را دارد که در بسیاری از بروزرهای (browser) معروف مانند کروم و … در عملیات بانکداری الکترونیک تداخل ایجاد نماید. همچنین وب سایت بانکها دستکاری شده و قربانی قادر به تشخیص اصل نبودن وب سایت نیست و از طریق قرار دادن اطلاعات اضافی مانند پین کد کارت های اعتباری و موارد دیگر در دسترس حمله کننده قرار می گیرد.
اطلاعات گرد آوری شده به سرور اصلی از طریق کد گذاری فرستاده می شود. Battdil همچینن این قابلیت را دارد که به سرور به طور بی نام از طریق i2p ارتباط برقرار کند.
نتیجه گیری
برای اولین بار در پایان 2013 به وجود Waski پی برده شد ولی به طور فزاینده ای استفاده از آن در آمریکا و اروپا توسط مجرمان در حال افزایش است. بنابراین اگر برای شما ایمیل ناشناسی آمد از باز کردن آن خودداری کرده و حتما از نرم افزارهای امنیتی استفاده کنید. و همچنین به یاد داشته باشید یکی از کارهایی که Waski می تواند انجام دهد دزدیدن حساب بانکی شماست و از طریق نصب بد افزارهای مختلف کارهای بسیاری می تواند انجام گیرد.
منبع: www.welivesecurity.com
