انتشار شده در تاریخ 1395/12/18 - 15:07

بدافزار جدید بانکداری

به گزارش واحد امنیت سایبربان؛ بات‌نت فلوکی (Floki)، از طریق پست الکترونیکی گسترش پیدا می‌کند و برای سرقت اطلاعات کارت‌های اعتباری قربانیان استفاده می‌شود.

بدافزار بات‌نت فلوکی، مبتنی بر کد مبنای مشابهی است که توسط بات‌نت مشهور زئوس (Zeus) مورداستفاده گرفت، کدی که در سال ۲۰۱۱ منتشر شد. به‌جای کپی ساده خصوصیاتی که در بات‌نت زئوس وجود داشتند، بات فلوکی قابلیت‌های جدید اضافه کرد که آن را به ابزار جالبی برای مجرمان تبدیل کرد.
به گفته شرکت تلوس (Talos)، اصلاحاتی در مکانیزم ارسال موجود در کد منبع زئوس ایجادشده است، به‌طوری‌که شناسایی بات فلوکی را مشکل‌تر می‌کند.
بات فلوکی توسط توسعه‌دهندگان به قیمت ۱۰۰۰ دلار به فروش می‌رسد و مبتنی بر بات‌نت زئوس است. هرچند محققان اخیراً متوجه شدند که بات فلوکی دارای قابلیت‌های جدیدی ازجمله ضد تشخیص است. شرکت تلوس کد نسخه‌ی جدید بدافزار را نیز موردبررسی قرار داده و متوجه شده که قابلیتِ عملیات بر روی شبکه‌ی Tor نیز در این بدافزار موجود است ولی هنوز عملکرد فعالی از آن مشاهده نشده است.
محققان شرکت فلش پوینت (flashpoint) معتقدند نام مورداستفاده توسط این بدافزار یک نام برزیلی است. همچنین محققان مشخص کردند که ارتباطات عوامل این بات در پرتغال است و آدرس‌های IP و دامنه‌های برزیلی را هدف قرار داده‌اند و در حالت کلی به دستگاه‌هایی که زبان پیش‌فرض آن‌ها بر روی پرتغالی تنظیم‌شده است، علاقه‌مند هستند.
شرکت فلش پوینت عوامل این بات را «اتصال‌دهنده» (رابط) نامید، زیرا در تعداد زیادی از انجمن‌های خارج از برزیل ازجمله انجمن‌های زیرزمینی Dark Web در روسیه و انگلستان حضور دارند. محققان معتقدند با حضور در وب‌گاه‌های خارجی، این مهاجمان دانش و ابزارهای مختلفی را وارد انجمن‌های برزیل می‌کنند.
علاوه بر قابلیت‌هایی که این بدافزار از بات‌نت زئوس گرفته است، دارای قابلیت قلاب کردن نیز هست که از این طریق می‌تواند اطلاعات کارت‌های پرداخت را از حافظه به دست آورد. در یک پویش بات‌نت فلوکی که توسط فلش پوینت مشاهده‌شده بود، ۲۲۵ بات، اطلاعات نزدیک به ۱۳۷۵ کارت اعتباری را به سرقت بردند. در حوزه جرائم سایبری مالی، پیشرفت ادامه‌دار بدافزار شناخته‌شده بات فلوکی مشاهده می‌شود که ‌توسط فعالی به نام فلوکی‌بات (flokibot) از سپتامبر ۲۰۱۶ عرضه‌شده است.

میزان پیشرفت روبات فلوکی‌
سازندگان بدافزار دائماً فناوری خود را جهت دور زدن، شناسایی و کنترل‌ها تطبیق می‌دهند. این بدافزارهای جدید قبل از انتشار در اینترنت بدون هشدار قبلی قالبا توسط فعالانی ساخته می‌شود که در اعماق Dark Web فعالیت دارند و شرکت‌ها را مستأصل می‌کنند.
در‌حالی‌که مجرمان سایبری برزیلی معمولاً به‌اندازه همتاهای روسی خود ماهر نیستند، غالباً فرم‌های جدید بدافزار (برای در نظر گرفتن باج‌افزار نقطه فروش (PoS) و تروجان‌های بانکداری) را طلب کرده و خدمات خود را پیشنهاد می‌دهند. به نظر می‌رسد حضور در انجمن‌های روسی اعماق Dark Web می‌تواند عامل احتمالی در پیشرفت فلوکی باشد.