کارشناسان در مورد تروجان Lurk معتقدند که مجرمان طراح این تروجان بهطور قطع میدانند برنامههای ضدویروسی Ammyy در برابر تهدیدهای رخداده بهخوبی عمل نمیکنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بهگفته محققان آزمایشگاه مجرمان فعال در فضای مجازی با حمله و نفوذ به وبسایت رسمی ابزار مدیریت از راه دور معروف Ammyy، اقدام به واردکردن تروجان بانکداری Lurk و چندین برنامه مخرب دیگر به این وبسایت کردهاند.
Lurk که یک تروجان بانکداری است، سابقاً برای حمله به شرکتهای مالی روسی و همچنین چندین سازمان دیگر مورد استفاده قرار گرفتهاست. این تروجان از پنجسال پیش فعالیت خود را شروع کردهاست و کارشناسان تخمین میزنند که گروههای فعالیتهای غیرقانونی در فضای مجازی با استفاده از این تروجان حدود ۴۵میلیون دلار را به جیب زده باشند.
مقامات روسی نیز به تازگی ۵۰ نفر را که مظنون به استفاده از این تروجان هستند بازداشتکردهاند. طبق شنیدهها این بازداشتها در کار کیت بهرهبرداری Angler نیز بیتأثیر نبودهاست و باعث توقف فعالیت این کیت شدهاست.
تروجان Lurk معمولاً با استفاده از حملات watering hole وارد سامانهها میشود. در این نوع حمله، یک وبسایت رسمی مورد حمله واقع و بدافزار به آن وارد میشود. در بسیاری از موارد، نفوذگران از کیتهای بهرهبرداری برای وارد کردن بدافزار استفاده میکنند، اما کارشناسان کشف کردند که در این مورد، یک نرمافزار برای این منظور مورد استفاده واقع شدهاست.
محققان آزمایشگاه Kaspersky در این خصوص دریافتند که کاربران مورد حمله این تروجان، ابزار مدیریت از راه دور Ammyy را در رایانههای خود نصب کردهاند. بررسیهای بیشتر نشان داد که این تروجان در ابتدا در قالب یک پرونده با نام ammyysvc.exe در کنار برنامه نصب Ammyy و از وبگاه رسمی این برنامه، از اینترنت دریافت شدهاست.
محققان اولینبار در فوریه ۲۰۱۶ این تروجان را در وبسایت Ammyy مشاهده کردند. طراحان ابزار Ammyy بلافاصله در جریان قرار گرفتند و اقدام به پاکسازی وبسایت رسمی خود از این تروجان کردند، اما طراحان تروجان Lurk بار دیگر در آوریل اقدام به استفاده از این وبسایت کرده و نسخه تغییریافته تروجان Lurk را که برای حمله به شبکههای شرکتی مناسب بود وارد بخشهای مختلف کردند. هنوز مشخص نشدهاست که طراحان این تروجان پس از پاکسازی وبسایت Ammyy به چه طریقی دوباره به آن دسترسی پیدا کردهاند، اما مشخص است که یا دسترسی آنها حتی پس از پاکسازی برقرار بودهاست یا دوباره اقدام به حمله و نفوذ به وبسایت کردهاند.
مسئولان شرکت Ammyy پس از این اتفاق بار دیگر اقدام به پاکسازی وبسایت شرکت خود کردند، اما محققان مدتی بعد در یکم ژوئن دریافتند که اینبار این وبسایت مورد حمله تروجان Fareit قرار گرفتهاست. طراحان شرکت Ammyy بهتازگی بار دیگر اقدام به پاکسازی وبسایت خود از بدافزارها کردهاند و تاکنون خبر جدیدی از حمله جدید تروجانها مخابره نشدهاست.
کارشناسان در این باره معتقدند که مجرمان حوزه فضای مجازی اساس کار خود را بر این قرار دادهاند که مدیران در خصوص بروز تهدید در مورد محصولات شرکتها، واکنش خاصی را نشان نمیدهند. کارشناسان در مورد تروجان Lurk معتقدند که مجرمان طراح این تروجان بهطور قطع میدانند برنامههای ضدویروسی Ammyy در برابر تهدیدهای رخداده بهخوبی عمل نمیکنند، زیرا موارد متعددی مشاهده شده که در آنها این ابزار برای اهداف خرابکارانه مورد سوءاستفاده واقع شدهاست.
محققان Kaspersky از ماه فوریه فعالیتهای این تروجان را در وبسایت Ammyy تحت نظر دارند و این در حالی است که شرکت ESET طی یک گزارش اعلامکرد که در نوامبر ۲۰۱۵ نیز وبسایت Ammyy توسط یک گروه مجرم با نام Buhtrap مورد سوءاستفاده واقع شدهاست.
این گروه از این وبسایت برای پخش کردن انواع بدافزارها استفاده کرده که برنامه دریافتکننده تروجان Lurk یکی از این بدافزارها بوده که در ماه اکتبر در این وبسایت مشاهده شدهاست. این وبسایت علاوهبر این، مورد استفاده گروههایی مانند Corebot ،Buhtrap ،Ranbyus و Netwire بودهاست. برخی منابع نیز گزارش دادهاند که این وبسایت از جولای ۲۰۱۵ به مکانی برای گروههای جرائم فضای مجازی تبدیل شدهاست.
واسیلی بردنیکوف، تحلیلگر بدافزارها در آزمایشگاه Kaspersky در این خصوص گفت: استفاده از نرمافزارهای رسمی برای اهداف غیرقانونی، یک روش مناسب برای پخش کردن بدافزارها در بخشهای مختلف است. مجرمان فضای مجازی با استفاده از این روش، قبل از هر چیز میتوانند انتظارات کاربران از امنیت یک نرمافزار رسمی را تحت شعاع قرار داده و از اطمینان آنها به شرکتها و نرمافزارهای رسمی سوءاستفاده کنند. کاربران با دریافت و نصب یک نرمافزار از شرکتهای طراحی معروف، دیگر تردیدی در مورد امنیت نرمافزار ندارند و تصوری هم مبنی بر مخرب بودن پروندههای جانبی آن نرمافزار نخواهند داشت. این مسئله خود باعث میشود که مجرمان بهراحتی به اهداف خود دسترسی داشتهباشند و از این طریق اهداف بیشتری را مورد حمله قرار دهند.