استفاده هكرها از بدافزار Ramnit

Ramnit، یك كرم كامپیوتری است كه برای اولین بار در سال 2010 كشف شد. در آن زمان این كرم از طریق آلوده كردن فایل های اجرایی، مایكروسافت آفیس و HTML بر روی كامپیوترهای محلی گسترش یافته بود.
 
با توجه به یافته های محققان از شركت امنیتی Trusteer، نوع جدیدی از بدافزار مالی Ramnit به منظور سرقت اعتبارنامه های ورود برای حساب كاربری Steam، در تزریق مرورگر وب محلی مورد استفاده قرار می گیرد.
Ramnit، یك كرم كامپیوتری است كه برای اولین بار در سال 2010 كشف شد. در آن زمان این كرم از طریق آلوده كردن فایل های اجرایی، مایكروسافت آفیس و HTML بر روی كامپیوترهای محلی گسترش یافته بود.
این بدافزار می تواند كوكی های مرورگر و اعتبارنامه های FTP كه به صورت محلی ذخیره شده اند را به سرقت ببرد. هم چنین می تواند به منظور تغییر فرم های وب و تزریق كد مخرب به صفحات وب از یك روش شناخته شده به نام حمله MitB استفاده نماید.
عملكرد MitB معمولا توسط بدافزارهای مالی برای فریب كاربران بانكداری آنلاین به منظور افشای اطلاعات شخصی و مالی آن ها مورد استفاده قرار می گیرد.
محققان امنیتی از شركت Trusteer، اخیرا گونه جدیدی از این بدافزار را شناسایی كرده اند كه كاربران Steam، یكی از بزرگترین توزیع كنندگان پلت فرم های چند نفره آنلاین برای بازی های كامپیوتری را مورد هدف قرار داده است.
مجرمان سایبری حساب های كاربری Steam را با استفاده از بدافزار و حملات سرقت هویت مورد هدف قرار داده اند. با این حال، بدافزار Ramnit برای سرقت اعتبارنامه های ورودی كاربران از روش های پیشرفته دیگری مانند تزریق وب استفاده می كند.
با توجه به یافته های محققان، هنگامی كه یك كاربر به صفحه ورودی Steam Community دسترسی می یابد و نام كاربری و رمز عبور خود را وارد می نماید، فرم مربوطه با استفاده از كلید عمومی سایت رمزگذاری می شود. برای غلبه بر این موضوع، Ramnit فرم را به گونه ای تغییر می دهد كه به آن اجازه دهد تا از متن ساده رمز عبور كپی تهیه كند. كاربر این تغییر را حس نمی كند زیرا در صفحه ورودی هیچ تغییری رخ نداده است.
هنگامی كه كاربر فرم را تكمیل می كند و آن را ثبت می كند، این بدافزار درخواست ها را ردگیری می كند و داده ها را از فیلد رمزگذاری نشده فرم می خواند و قبل از ارسال درخواست برای سرور Steam Web، فیلد مربوطه را حذف می كند. در نتیجه این حمله از دید نرم افزار امنیتی پنهان می ماند.
در گذشته بدافزار Ramnit تنها برای هدف های بانكی مورد استفاده قرار می گرفت اما در حال حاضر مشاهده می شود كه هدف حمله این بدافزار موقعیت ها، سازمان ها و خدمات غیر بانكی می باشد.

درباره پارسینگ

تیم امنیت وب و تحقیقات سایبری پارسینگ با هدف اطلاع رسانی، آموزش، مشاوره، ایمن سازی و تحقیقات در حوزه امنیت سایبری در سال 1391 توسط مهندس علی اصغر جعفری لاری تاسیس گردید تا علاوه بر اهدافی همچون بالا بردن آگاهی کاربران عمومی نسبت به امنیت، مشاوره و ایمن سازی وبسایت های داخلی برای دفاع در برابر تهاجمات بیگانگان و ارائه تحقیقات سایبری روشن و شفاف برای تحقیق و توسعه پروژه ها توسط دانش پژوهان، بتواند با کسب رضایت و اعتماد مشتریان خود به عنوان یک تیم برتر در حوزه امنیت سایبری در ایران شناخته شود.  

تماس با ما

تهران، اقدسیه، میدان ازگل، کوچه نوبهار، بن بست همیشه بهار، پلاک سوم

info[at]parsing[dot]ir

22196283 21 (98)

9120268477 (98)

پارسینگ را در گوگل محبوب کنید: