به گزارش گرداب، بدافزار از لوگو بانک استفاده می‌کند تا کاملا قانونی بنظر برسد. همچنین، بدافزار گذرواژه‌های یکبار مصرف که در احرازهویت بیومتریک استفاده می‌شوند را نیز به سرقت می‌برد.

طبق گزارشی که توسط IBM X-Force در روز سه‌شنبه منتشر شد، بدافزار CamuBot اولین بار در ماه آگوست، هنگامی که مشتریان تجاری بانک‌ها را مورد هدف قرار داد، شناسایی شد.

توزیع بدافزار بصورت هدفمند انجام می‌پذیرد. به گفته پژوهشگران، بنظر می‌رسد که مهاجمان اطلاعات افراد را از منابعی مانند دفترچه تلفن‌های محلی، موتورهای جستجو یا شبکه‌های اجتماعی حرف‌های بدست می‌آورند تا کسانی که صاحب کسب‌وکار هستند و یا حساب بانکی تجاری دارند را شناسایی کنند.

پس از شناسایی هدف، مهاجمین در قالب کارمندان بانک از طریق تماس تلفنی با قربانی ارتباط برقرار می‌کنند و از وی درخواست می‌کنند تا به URL مشخصی مراجعه کند و به روز بودن ماژول امنیتی خود را بررسی کند. در این صفحه جعلی، یک پیغام جعلی نمایش داده می‌شود که به کاربر اعلام می‌کند ماژول امنیتی نرم‌افزار نیازمند بروزرسانی است. سپس از قربانی خواسته می‌شود تا تمامی برنامه‌های باز را ببندد و برنامه مخرب را دانلود کند. برنامه مخرب از لوگو بانک استفاده می‌کند تا قانونی بنظر برسد. همچنین نام فایل دانلود شده و URL منبع آن در هر حمله تغییر می‌کند.

هنگام تماس تلفنی مهاجم با قربانی، یک صفحه پاپ‌آپ برای کاربر نمایش داده می‌شود که وی را به یک صفحه فیشینگ منتقل می‌کند. در این صفحه اطلاعات ورود به پورتال بانک از قربانی درخواست می‌شود که قربانی با وارد کردن این اطلاعات، نام‌کاربری و گذرواژه خود را با مهاجم به اشتراک می‌گذارد.

نکته جالب توجه در مورد این بدافزار، دور زدن احرازهویت بیومتریک (تشخیص چهره، صدا و غیره) است. بدافزار قابلیت این را دارد که درایور دستگاه احرازهویت بیومتریک را دریافت و نصب کند. سپس ارتباط با سرور C&C از طریق پراکسی SOCKS مبتنی بر SSH انجام می‌شود.

بدافزار CamuBot یک برنامه مخرب پیشرفته است و از تکنیک‌های ساده مانند استفاده از صفحات جعلی و ابزارهای دسترسی از راه دور استفاده نمی‌کند. CamuBot مشابه بدافزارهای بانکی اروپایی مانند TrickBot، Dridex و QakBot عمل می‌کند و از روش‌های مهندسی اجتماعی برای نفوذ به حساب مشتریان بانک‌ها استفاده می‌کند.

منبع: افتا