شناسایی کی‌لاگر مخفی در رایانامه‌های بانکی

به گزارش واحد امنیت سایبربان؛ به تازگی بدافزار جدیدی کشف شده که مشتریان بانک‌ها را هدف قرار داده و به‌نظر می‌رسد می‌خواهد گذرواژه‌های کاربران و بیت‌کوین‌ها را از کیف پول مجازی آن‌ها به سرقت ببرد. این بدافزار توسط شرکت امنیتی سِیرن «Cyren» کشف شده است و در حال حاضر مانند یک کی‌لاگر عمل می‌کند و از طریق ضمیمه‌های رایانامه‌ها در قالب یک برنامه‌ی انتقال بانکی جعلی توزیع می‌شود.
رایانامه‌ها مذکور توسط بات‌هایی واقع در آمریکا و سنگاپور و بانکی در امارات ارسال می‌شوند. معمولاً در عنوان رایانامه‌ها از جزئیات مالی مانند پرداخت برخط بانکی استفاده می‌شود، در حالی‌که ضمیمه حاوی یک برنامه‌ی جعلی و بدافزار است. برنامه حاوی کد سوئیفت۱ است تا نوع بانک و مؤسسه‌ی مالی تشخیص داده شود و در ادامه در فرآیند کلاه‌برداری این رایانامه‌ها واقعی به نظر برسند.
حتی اگر پرونده‌های ضمیمه طوری باشد که پی‌دی‌اف به‌نظر برسد، این پرونده‌ها اجرایی هستند. به محض اجرا شدن این پرونده، خودش را حذف کرده و یک پرونده‌ی دیگر با نام «filename.vbs» در پوشه‌ی آغازین ویندوز ایجاد می‌کند. هر بار که رایانه راه‌اندازی می‌شود، این اسکریپت اجرا شده و بدافزار شروع به کار خواهد کرد.
به‌طور خلاصه، بدافزار یاد شده تلاش دارد گذرواژه‌ها و اطلاعات حساس کاربران را جمع‌آوری کند و تمرکز اصلی آن بر روی FTP و نرم‌افزارهای مرورگر وب است. هر دوی این نرم‌افزارها حاوی اطلاعات زیادی از جمله گواهی‌نامه‌های رایانامه‌ها هستند. این اطلاعات همه چیز از جمله گذرواژه، نام کاربری، تاریخچه‌ی مرور و حتی کوکی‌ها را شامل می‌شود.
اگر بر روی رایانه‌ی قربانی کیف پولی مربوط به ارز مجازی وجود داشته باشد، بدافزار بر روی آن‌ها نیز کار خواهد کرد. فهرست ارزهای مجازی که این بدافزار هدف گرفته نسبتاً طولانی است و شامل بیت‌کوین، «Litecoin» ،«Namecoin» و سایر ارزها است.
این بدافزار در اصل یک کی‌لاگر است و هر چیزی که شما بر روی صفحه‌کلید بفشارید یا موشواره‌ی خود را هرجایی که قرار دهید قابل جمع‌آوری است. همان‌طور که قبلاً نیز چندین بار اشاره شده است، شما باید توجه ویژه‌ای به رایانامه‌های دریافتی با عنوان مالی داشته باشید و هر رایانامه‌ای را باز نکرده و بر روی ضمیمه‌های آن کلیک نکنید.