به گزارش گروه اجتماعی مشرق، مرکز ماهر اعلام کرد: شركت امنیتی Trend Micro گزارشی را با نام "عملیاتEmmental" منتشر كرد كه در آن بدافزار اندرویدی از احراز هویت دو عاملی گذشته و كد مخربی را اجرا می كند كه تنظیمات DNS كامپیوتر آلوده را تغییر می دهد. سپس، آن نقاط توسط مهاجم اداره خواهد شد.
خرابكاران اقدام خود را با ارسال بدافزار از طریق حملات فیشینگ- لینك های آلوده یا فایل های ضمیمه شده از طرف فروشندگان محصولات مختلف- شروع می كنند.
این بدافزار یك بدافزار معمولی بانكی نیست، تنظیمات روی سیستم ها را تغییر داده و سپس خودش را پاك می كند. درست است تغییرات كوچك بوده ولی پیامدهای بزرگی برای كاربران خواهد داشت.
این بدافزار SSL root certificate جعلی را روی سیستم ها نصب می كند كه موجب می شود سرورهای HTTPS آلوده بصورت پیش فرض، قابل اعتماد تشخیص داده شوند و كاربران هیچ گونه هشدار امنیتی را مشاهده نكنند.
این بدافزار، سپس تغییراتی روی DNS سیستم انجام می دهد كه موجب می شود كاربران به سمت وبسایت های جعلی بانكی هدایت شوند كه دقیقاً مشابه سایت های اصلی است. در آن صفحات، كاربران به صفحات دیگری هدایت می شوند كه اطلاعات كاربری را وارد كنند و نرم افزاری را نصب کنند كه در حقیقت بدافزار اندرویدی است.
این برنامه كاربردی اندرویدی به عنوان یك تولیدكننده رمز session بانكی نیز عمل می كند. در حقیقت پیامك هایی از بانك را رهگیری كرده و به سمت سرور كنترل و فرمان (C&C) خود یا شماره موبایل دیگری ارسال می كند. این به این معنی است كه مجرمان سایبری نه تنها نام كاریری و كلمه عبور بانكی آنلاین قربانی را برمی دارند، بلكه علاوه بر آن رمزهای session های بانكی آنلاین را نیز می دزدند. به این ترتیب كنترل كاملی روی حساب های كاربری قربانی خواهند داشت. آدرس سرورهای DNS جعلی به شرح زیر است:
• 5.39.219.212
• 193.169.244.73
• 193.169.244.191
• 93.171.202.99
• 37.221.162.56
• 78.108.179.81
مخاطبان محترم گروه اجتماعی مشرق می توانند اخبار، مقالات و تصاویر اجتماعی خود را به آدرس shoma@mashreghnews.ir ارسال کنند تا در سریع ترین زمان ممکن به نام خودشان و به عنوان یکی از مطالب ویژه مشرق منتشر شود. در ضمن گروه اجتماعی مشرق در صدد است با پیگیری مشکلات ارسالی شما از طریق کارشناسان و مشاوران مجرب پاسخی برای ابهامات مخاطبان عزیز بیابد.
خرابكاران اقدام خود را با ارسال بدافزار از طریق حملات فیشینگ- لینك های آلوده یا فایل های ضمیمه شده از طرف فروشندگان محصولات مختلف- شروع می كنند.
این بدافزار یك بدافزار معمولی بانكی نیست، تنظیمات روی سیستم ها را تغییر داده و سپس خودش را پاك می كند. درست است تغییرات كوچك بوده ولی پیامدهای بزرگی برای كاربران خواهد داشت.
این بدافزار SSL root certificate جعلی را روی سیستم ها نصب می كند كه موجب می شود سرورهای HTTPS آلوده بصورت پیش فرض، قابل اعتماد تشخیص داده شوند و كاربران هیچ گونه هشدار امنیتی را مشاهده نكنند.
این بدافزار، سپس تغییراتی روی DNS سیستم انجام می دهد كه موجب می شود كاربران به سمت وبسایت های جعلی بانكی هدایت شوند كه دقیقاً مشابه سایت های اصلی است. در آن صفحات، كاربران به صفحات دیگری هدایت می شوند كه اطلاعات كاربری را وارد كنند و نرم افزاری را نصب کنند كه در حقیقت بدافزار اندرویدی است.
این برنامه كاربردی اندرویدی به عنوان یك تولیدكننده رمز session بانكی نیز عمل می كند. در حقیقت پیامك هایی از بانك را رهگیری كرده و به سمت سرور كنترل و فرمان (C&C) خود یا شماره موبایل دیگری ارسال می كند. این به این معنی است كه مجرمان سایبری نه تنها نام كاریری و كلمه عبور بانكی آنلاین قربانی را برمی دارند، بلكه علاوه بر آن رمزهای session های بانكی آنلاین را نیز می دزدند. به این ترتیب كنترل كاملی روی حساب های كاربری قربانی خواهند داشت. آدرس سرورهای DNS جعلی به شرح زیر است:
• 5.39.219.212
• 193.169.244.73
• 193.169.244.191
• 93.171.202.99
• 37.221.162.56
• 78.108.179.81
مخاطبان محترم گروه اجتماعی مشرق می توانند اخبار، مقالات و تصاویر اجتماعی خود را به آدرس shoma@mashreghnews.ir ارسال کنند تا در سریع ترین زمان ممکن به نام خودشان و به عنوان یکی از مطالب ویژه مشرق منتشر شود. در ضمن گروه اجتماعی مشرق در صدد است با پیگیری مشکلات ارسالی شما از طریق کارشناسان و مشاوران مجرب پاسخی برای ابهامات مخاطبان عزیز بیابد.
