هک سرور یک بانک با بدافزار دریدکس

تاریخ انتشار : ۳۱ فروردين ۱۳۹۵

تجزیه‌وتحلیل کدهای جاوا اسکریپت نشان می‌دهد که کدهای نام‌برده عامل به سرقت رفتن اطلاعات بانکی از طریق بدافزار دریدکس است.

به گزارش گرداب، در گذشته مهاجمان با استفاده از بدافزار دریدکس «Dridex» اطلاعات کاربران را به سرقت برد و سپس با اطلاعات در دسترس شروع به سرقت از حساب بانکی کاربران می‌کرد؛ اما تحقیقات انجام‌شده در موسسه امنیتی بوگورو «Buguroo» نشان می‌دهد که بدافزارها نیز در معرض خطر حملات هستند.

فعالیت بدافزار

بدافزار دریدکس توسط گرو جرایم اینترنتی Evil Corp توسعه داده شد. این بدافزار زمانی فعالیت خود را آغاز می‌کند که به عنوان یک ایمیل نامعتبر ارسال شده و پس از دریافت توسط قربانی اقدامات خرابکارانه خود را انجام میدهد. معمولاً حمله به این صورت است که با استفاده از آسیب‌پذیری DNS شروع به راه‌اندازی حمله می‌کند.

این حمله کاربر را به یک وب‌سایت جایگزین که هویت جعلی دارد هدایت می‌کند و پس‌ازآن به جمع‌آوری اطلاعات شخصی کاربر می‌پردازد. در این میان کاربر هرگز متوجه قصد بدافزار نمی‌شود و نمی‌داند که حمله صورت گرفته است.

تجزیه‌وتحلیل کدهای جاوا اسکریپت نشان می‌دهد که این کدها عامل به سرقت رفتن اطلاعات بانکی کاربران بوده و به محققان اجازه می‌دهد که برای تعیین آدرس‌های URL مخرب بدافزار اقدام کنند.

شرکت امنیتی بوگورو در گزارش خود اعلام کرد که با استفاده از این اطلاعات علاوه بر اطلاعات به‌دست‌آمده از تجزیه‌وتحلیل جاوا اسکریپت ما متوجه برخی اتفاقات بین پنل و کاربر شده‌ایم که درگذشته تشخیص داده بودیم.

در این میان با بررسی پنل به این نتیجه می‌رسیم که نسخه موجود دارای آسیب‌پذیری است و ما قادر به بازیابی بخشی از اطلاعاتی هستیم که به خطر افتاده است.

تحقیقات در مورد بدافزار دریدکس اطلاعات کشف شده شامل شماره‌حساب‌ها، نام، آخرین ورود به پنل کاربری، شماره کارت اعتباری، مدل کارت و اطلاعاتی در مورد بانک صادرکننده و کشور استفاده‌کننده از کارت را نمایش می‌دهد. بر اساس گزارش SecurityWeek کشورهای اروپایی و انگلیسی زبان از اهداف اصلی این بدافزار به شمار می‌روند اما شواهد نشان می‌دهد کارت‌های اعتباری که موردحمله قرارگرفته‌اند ارتباط با آفریقا و آمریکای لاتین دارد.

بر اساس برآورد پژوهشگران، بدافزار دریدکس موفق شد پس از یک دوره ده روزه 20 میلیون دلار به سرقت ببرد. محققان امنیتی شرکت بوگورو به این نتیجه رسیدند که بدافزار دریدکس توسط گروه‌های تبهکار سایبری مورداستفاده قرارگرفته است.

C&C: مرکز کنترل و فرماندهی زیرساخت تحت نظر را می‌نامیم که شامل سرور و سایر زیرساخت‌های فنی مورداستفاده برای کنترل نرم‌افزارهای مخرب به‌ویژه بات نت ها مورداستفاده قرار می‌گیرد و ممکن است که به‌طور مستقیم توسط اپراتور کنترل شود.