بهره‌برداری Zeus Sphinx از جهان کرونازده
کد مطلب: 16635
تاریخ انتشار : شنبه ۲۷ ارديبهشت ۱۳۹۹ ساعت ۰۸:۵۵
 
تروجان بانکی Zeus Sphinx در حالی با سوءاستفاده از نگرانی جهانی از بحران همه‌گیری کرونا در حال انتشار است که به‌طور مستمر خود را به‌روزرسانی و مجهز به قابلیت‌های مخرب بیشتر می‌کند.
بهره‌برداری Zeus Sphinx از جهان کرونازده
 
 
Share/Save/Bookmark
کاربران نگران کرونا، هدف تروجان بانکی Zeus Sphinx قرار گرفته‌اند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، تروجان بانکی Zeus Sphinx در حالی با سوءاستفاده از نگرانی جهانی از بحران همه‌گیری کووید ۱۹ در حال انتشار است که به‌طور مستمر خود را به‌روزرسانی و مجهز به قابلیت‌های مخرب بیشتر می‌کند.

این بدافزار بر پایه کد افشا شده نسخه ۲ تروجان معروف Zeus ساخته شده است. Zeus Sphinx که با نام‌های Zloader و Terdot نیز شناخته می‌شود اولین بار در سال ۲۰۱۵ در جریان اجرای حملاتی بر ضد بانک‌های آمریکایی شناسایی شد. اما برای سال‌ها به استثنای چند کارزار سایبری فعالیت چشمگیری از Zeus Sphinx گزارش نشد.

اکنون مدتی است که این تروجان مجدداً در حملات بر ضد بانک‌ها و همچنین در کارزار جدیدی در ظاهر مرتبط با بیماری کووید ۱۹ فعالیت آن از سر گرفته شده‌است.

در ماه مارس، IBM از اجرای موجی از حملات خبر داد که در آنها تروجان در اسناد فیشینگ مخفی شده و از طریق ایمیل منتشر می‌شد. در آن حملات اینطور وانمود می‌شد که ایمیل حاوی اطلاعاتی مرتبط با کمک مالی در خصوص بیماری کووید ۱۹ است.

این حملات همچنان فعال است و در دورانی که بسیاری به سبب همه‌گیری کووید ۱۹ و اثرات اقتصادی آن نیازمند کمک هستند کاربران مورد هدف قرار می‌گیرند.

بررسی‌های IBM نشان می‌دهد که این بدافزار در نتیجه ارتقاهای مستمر مستحکم‌تر و قدرتمندتر از قبل شده است.

Zeus Sphinx از طریق پیوست مخربی که در آن از قربانی خواسته می‌شود که ماکرو را فعال کند به سیستم راه پیدا می‌کند. به‌محض اجرا، بدافزار اقدام به ایجاد یک کلید Run در Windows Registry برای ماندگار کردن و اجرای خودکار خود در هر بار راه‌اندازی سیستم می‌کند.

ایجاد کلید Run روشی بسیار رایج برای ماندگار کردن پروسه مخرب بر روی دستگاه آلوده است که Zeus Sphinx از ابتدای پیدایش از آن استفاده می‌کرده است. Zeus Sphinx خود را در قالب یک فایل اجرایی یا یک DLL مخرب توزیع می‌کند.

همچنین Zeus Sphinx یک پروسه مستقل با نام msiexec.exe که عنوان آن برای مخفی نگاه داشتن ماهیت مخرب بدافزار برگرفته از یک برنامه معتبر با همین نام است ایجاد می‌کند.

در ژانویه ۲۰۲۰، نمونه‌هایی از بدافزار از فهرستی متغیر از سرورهای فرماندهی (C۲) و یک کلید RC۴ برای رمزگذاری ارتباطات بات‌نت استفاده می‌کردند.

اما نمونه‌های اخیر بدافزار با شناسه‌ای جدید، شامل مجموعه‌ای متفاوت از کلیدهای RC۴ و یک مجموعه کوچک‌تر اما متفاوت از سرور فرماندهی هستند.

همچنین Zeus Sphinx از یک مولد اعداد شبه تصادفی (Pseudo-random Number Generator – به اختصار PRNG) به نام MT۱۹۹۳۷ برای ایجاد تغییر در نامهای فایل و منابع دستگاه آلوده با هدف عبور از سد محصولات امنیتی مبتنی بر پویش ایستا استفاده می‌کند.

Zeus Sphinx بر خلاف هم‌قطارانی همچون TrickBot تمرکز ویژه‌ای بر کلاهبردای‌های آنلاین بانکی دارد. IBM معتقد که مؤسسات مالی باید توجه خاصی به بازگشت این تروجان و تلاش آن برای کسب قربانیان بیشتر با استفاده از موضوع داغ این روزها یعنی بیماری کووید ۱۹ کنند.
مرجع : مرکز مدیریت راهبردی افتا