حمله تروجان Brolux به بانک های انلاین ژاپن

حمله تروجان Brolux به بانک های انلاین ژاپن

یک تروجان بانکی که توسط شرکت ESET با نام Win32/Brolux.A کشف شد،از طریق حداقل دو اسیب پذیری (Flash و unicorn bug) پخش می شود و کاربران بانک های انلاین ژاپن را هدف قرار میدهد.

این دو بدافزار از طریق یک سایت غیر اخلاقی بزرگ سال توضیع میشوند و سعی دارند تا یک باینری مخرب، که اطلاعات شخصی قربانیان را سرقت میکند، را نصب کنند.

مکانیزم توضیح این تورجان مشابه به تروجان Win32/Aibatook میباشد که در گذشته سازمان های مالی ژاپن را هدف قرار میداد.

روش آلوده سازی
در زمان بازدید کاربر از سایت های غیر اخلاقی بزرگ سال، سیستم در معرض خطر آسیب پذیری های Internet Explorer (CVE-2014-6332) یا Flash Player (CVE-2015-5119) قرار میگیرد.

مجرم سایبری از این دو اسیب پذیری شناخته شده و مسلح استفاده میکند. در نتیجه نرم افزارهایی را که کاربران مرتب استفاده میکنند باید همیشه به روزرسانی و پچ شده باشند. یک کد proof-of-concept برای اسیب پذیری در اینترنت اکسپلورر موجود است، اما این اسیب پذیری از یک ورژن تغییر یافته آن استفاده میکند.

در اوایل سال 2015 یک اسیب پذیری کارآمد برای Flash درآمد و در کیت های اصلی اسیب پذیری ها قرار گرفت ولی در ظاهر هیچ یک از این کیت ها در حملات اخیر استفاده نشده است.

لایه های اضافه obfuscation در اسیب پذیری دیده نشد که در دیگر کیت ها رایج است و تحلیل آن آسان بود. در تصویر زیر به نظر میرسید که سایت غیر اخلاقی بزرگ سال سعی بر نقض سیستم کاربران داشت اما در واقع از سایت های معتبر بزرگ سال ویدیو برداشت میکند.

Brolux 1

هدف
Payload اصلی دو فایل تنظیمات را دانلود خواهد کرد. اولین فایل شامل یک لیست از 88 URL از بانک های اینترنتی ژاپن است که توسط تروجان مانیتور میشود. فایل دوم

شامل اسامی ویندوز مرورگر همراه ان است. Win32/Brolux.A یک تروجان ساده است که کاربر را مانیتور میکند تا ببیند او از یکی از سایت های بانک های مورد هدف بازدید میکند یا خیر. مرورگر های Internet Explorer، Firefox و Chrome ساپورت میشوند.

اگر کاربر از IE استفاده میکند، Win32/Brolux.A آدرس فعلی در نوار آدرس را برداشت میکند و آنرا با فایل تنظیمات خود مقایسه میکند. در صورت استفاده از Firefox یا Chrome تیتر در ویندوز با لیست در تنظیمات فایل دوم مقایسه میشود.

اگر ادرس مشابه پیدا شد یک پروسه جدید IE شروع میشود و کاربر به صفحه فیشینگ هدایت میشود.
صفحه فیشینگ از شما درخواست اطلاعات Login و جواب دادن سوال امنیتی را میکند. این صفحه از دو سازمان معتبر و قابل اعتماد Public Prosecutors Office و Financial Services Agency استفاده میکند. URL آن هر دو موسسه را تقلید میکند در حالیکه محتوای صفحه به FSA برمیگردد.

Brolux 2

ترجمه حدودی:
• لطفا به جرایم هدایت شده به سوی بانکداری اینترنتی توجه کنید.
• اقدامات امنیتی که مشتریان باید اجرا کنند:
• برای حفاظت از املاک شخصی مشتریان، آژانس خدمات مالی هر بانک را وادار به افزایش امنیت خواهد کرد.
هر بانک مستلزم است که برای مشتریان یک کارت بروزشده فراهم کند و اطلاعات لازم را برای شناسایی خاص مشتریان ارسال نماید.

Brolux 3

ترجمه حدودی:
• لطفا به جرایم هدایت شده به سوی بانکداری اینترنتی محلی دقت کنید.
• برای هر بانک مواردی وجود دارد که برای آن جواب به سوالات نیاز نیست.
• زمانی که اصطلاح رمز وجود ندارد، آنرا نادیده بگیرید و گزینه Next را انتخاب کنید.

Brolux 4

ترجمه حدودی:
• اطلاعات شخصی:
o شماره ثبت
o اصطلاح رمز
o ایمیل
o رمز ایمیل
o شماره PIN دوم
• ما از داده های اعتباری شخصی شما برای ارسال به صنعت داده های مصرف کننده یا اطلاعات حساس، بر اساس توصیه های محافظت از اطلاعات شخصی (آژانس خدمات مالی هشدار شماره 67) استفاده نخواهیم کرد و اطلاعات فقط برای هدف اصلی خود استفاده خواهد شد که توسط قانون بانکی محدود و مشخص شده است.
در واقع همه سازمان های دولتی در ژاپن اعلامیه های سوء استفاده مانند موارد بالا را صادر کرده اند.

ارتباط با چین
نمونه Win32/Brolux.A تحلیل شده از یک اسم mutex چینی استفاده میکند. صفحه فیشینگ نیز دارای ایراداتی (error) میباشد و کاملآ به زبان ژاپنی نوشته نشده بود.

دو فیلد در صفحه سوم فیشینگ نمونه بالا به چینی نوشته شده است. Certificate انتشار یافته برای نمونه به شرح ذیل است.

Brolux 5

این certificate برای یک شرکت چینی صادر شده است و برای ثبت نمونه برنامه و بدافزار های مخرب و ناخواسته استفاده شده است. در میان نمونه ها مواردی از بدافزار Venik دیده شده است که بانک های کره را هدف قرار میدهند.

این بدافزار هاست فایل را در سیستم قربانی تغییر میدهد تا درخواست ها ارسالی به سمت سایت های بانک های اینترنتی کره ای به سایت های فیشینگ هدایت شوند. این نمونه بدافزار تشابه زیادی به Win32/Brolux دارد.

در حالیکه Win32/Brolux از تکنیک های ساده استفاده میکند، باید اقدامات پیشگیری برای جلوگیری از چنین تهدید هایی به اجرا گذاشت. Win32/Brolux از اسیب پذیری های قدیمی برای گسترش آلودگی استفاده میکند و باید نرم افزار بر روی سیستم از آخرین بروزرسانی ها و پچ ها برخورددار باشند.

اگر سایت بانکی ناگهان دارای محتوای اضافه شد کاربر باید مشکوک شود و با احتیاط عمل کند. محتوای غیر منطقی جدید میتواند نشانه ای از حمله یا هک باشد.

نشانه های نقض شدن

Brolux 6