تروجان بانکی Zeus Sphinx در حالی با سوءاستفاده از نگرانی جهانی از بحران همهگیری کرونا در حال انتشار است که بهطور مستمر خود را بهروزرسانی و مجهز به قابلیتهای مخرب بیشتر میکند.
منبع : مرکز مدیریت راهبردی افتا
کاربران نگران کرونا، هدف تروجان بانکی Zeus Sphinx قرار گرفتهاند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، تروجان بانکی Zeus Sphinx در حالی با سوءاستفاده از نگرانی جهانی از بحران همهگیری کووید ۱۹ در حال انتشار است که بهطور مستمر خود را بهروزرسانی و مجهز به قابلیتهای مخرب بیشتر میکند.
این بدافزار بر پایه کد افشا شده نسخه ۲ تروجان معروف Zeus ساخته شده است. Zeus Sphinx که با نامهای Zloader و Terdot نیز شناخته میشود اولین بار در سال ۲۰۱۵ در جریان اجرای حملاتی بر ضد بانکهای آمریکایی شناسایی شد. اما برای سالها به استثنای چند کارزار سایبری فعالیت چشمگیری از Zeus Sphinx گزارش نشد.
اکنون مدتی است که این تروجان مجدداً در حملات بر ضد بانکها و همچنین در کارزار جدیدی در ظاهر مرتبط با بیماری کووید ۱۹ فعالیت آن از سر گرفته شدهاست.
در ماه مارس، IBM از اجرای موجی از حملات خبر داد که در آنها تروجان در اسناد فیشینگ مخفی شده و از طریق ایمیل منتشر میشد. در آن حملات اینطور وانمود میشد که ایمیل حاوی اطلاعاتی مرتبط با کمک مالی در خصوص بیماری کووید ۱۹ است.
این حملات همچنان فعال است و در دورانی که بسیاری به سبب همهگیری کووید ۱۹ و اثرات اقتصادی آن نیازمند کمک هستند کاربران مورد هدف قرار میگیرند.
بررسیهای IBM نشان میدهد که این بدافزار در نتیجه ارتقاهای مستمر مستحکمتر و قدرتمندتر از قبل شده است.
Zeus Sphinx از طریق پیوست مخربی که در آن از قربانی خواسته میشود که ماکرو را فعال کند به سیستم راه پیدا میکند. بهمحض اجرا، بدافزار اقدام به ایجاد یک کلید Run در Windows Registry برای ماندگار کردن و اجرای خودکار خود در هر بار راهاندازی سیستم میکند.
ایجاد کلید Run روشی بسیار رایج برای ماندگار کردن پروسه مخرب بر روی دستگاه آلوده است که Zeus Sphinx از ابتدای پیدایش از آن استفاده میکرده است. Zeus Sphinx خود را در قالب یک فایل اجرایی یا یک DLL مخرب توزیع میکند.
همچنین Zeus Sphinx یک پروسه مستقل با نام msiexec.exe که عنوان آن برای مخفی نگاه داشتن ماهیت مخرب بدافزار برگرفته از یک برنامه معتبر با همین نام است ایجاد میکند.
در ژانویه ۲۰۲۰، نمونههایی از بدافزار از فهرستی متغیر از سرورهای فرماندهی (C۲) و یک کلید RC۴ برای رمزگذاری ارتباطات باتنت استفاده میکردند.
اما نمونههای اخیر بدافزار با شناسهای جدید، شامل مجموعهای متفاوت از کلیدهای RC۴ و یک مجموعه کوچکتر اما متفاوت از سرور فرماندهی هستند.
همچنین Zeus Sphinx از یک مولد اعداد شبه تصادفی (Pseudo-random Number Generator – به اختصار PRNG) به نام MT۱۹۹۳۷ برای ایجاد تغییر در نامهای فایل و منابع دستگاه آلوده با هدف عبور از سد محصولات امنیتی مبتنی بر پویش ایستا استفاده میکند.
Zeus Sphinx بر خلاف همقطارانی همچون TrickBot تمرکز ویژهای بر کلاهبردایهای آنلاین بانکی دارد. IBM معتقد که مؤسسات مالی باید توجه خاصی به بازگشت این تروجان و تلاش آن برای کسب قربانیان بیشتر با استفاده از موضوع داغ این روزها یعنی بیماری کووید ۱۹ کنند.