تحلیل شبكه بات سرقت اطلاعات بانكی LUUUK

كارشناسان كلاهبرداری بانكی Luuuk را یك حمله Man-in-the-Browser) MITB) علیه یك بانك اروپایی مشخص تحلیل كردند. پول سرقت شده به صورت اتوماتیك به حسابهای از پیش تعیین شده انتقال داده شد. وقتی GReAT (تحلیل گر حملات سایبری كسپرسكی)، پانل كنترل Luuuk را دریافت كرد بلافاصله با بانك تماس گرفت و شروع به بررسی موضوع كرد. 
بیستم ژانویه 2014 میلادی، آزمایشگاه كسپرسكی یك سرور مشكوك كه حاوی چندین Log File شامل رویدادهایی از باتها كه به كنترل پنل یك سرور كنترل و فرماندهی گزارش نموده بودند را شناسایی كرد. به نظر می¬رسید اطلاعات ارسال شده با یك كلاهبرداری مالی مرتبط باشد، این اطلاعات شامل اطلاعات جزئی در مورد قربانی ها و مجموع پول دزدیده شده بود.
 
شكل 1 : نمونه Log File
بعد از آنالیز بیشتر، فایلهای بیشتری در سرور دیده شد كه شامل لاگهایی با محتواهای مختلف بود و بالقوه تراكنش¬های كلاهبرداری بانكی و همچنین كد جاوا اسكریپت مرتبط با زیرساخت C2 را نشان می¬داد. داده¬های ارزشمندی درباره بانكی كه هدف قرار گرفته بود و جزئیات دیگری نظیر سیستم money-mule (حسابهای واسطه انتقال پول) و همچنین جزئیات عملیات قابل مشاهده است.
 
شكل 2 : كد كنترل پنل
با بررسی داده های در دسترس، مشخص شد كه C2 بخش سمت سرور از یك ساختار تروجان بانكی است. كلاهبرداری با استفاده از تكنیك Man-in-the-Browser انجام شده است و قادر بوده است تراكنش¬های اتوماتیك برای ایجاد حسابهایی برای انتقال پول انجام دهد. به دلیل مسیر مورد استفاده در پنل مدیریتی بات در سرور، C2 به نام Luuuk نامیده شد. موارد زیر خلاصه ای از اطلاعات استخراج شده از اجزای سمت سرور است. 
•    حدود 190 قربانی، كه اكثر آنها در ایتالیا و تركیه می¬باشند.
•    طبق لاگها تراكنش های كلاهبردار بیش از 500.000 یورو ارزش داشتند.    
•    توصیف چگونگی انتقال پول در این كلاهبرداری
•    شماره حسابهای بین المللی بانكی قربانی ها و حسابهای واسط
•    پانل كنترل بات در دامنه uvvya-jqwph.eu یا آدرس IP ، 109.169.23.134 قرار دارد. این حمله، كاربران یك بانك را هدف قرار داده بود. مجرمین برای به دست آوردن اطلاعات محرمانه هویتی قربانیانشان از طریق injection، از یك تروجان بانكی كه عملیات Man-in-the-Browser را شكل می دهد استفاده كرده¬اند. بر اساس اطلاعات موجود در برخی لاگ فایلها، بدافزار مذكور نام كاربری، رمز عبور و كدهای OTP را در زمان واقعی (Real time) ربوده است.
 
شكل 3 : نمونه لاگ تراكنش كلاهبرداری بسیاری از انواع (Citadel, SpyEye, IceIX,.. ) ZEUS قابلیت لازم برای این حمله را دارند. شواهد كشف شده توسط متخصصین آزمایشگاه كسپرسكی نشان می دهد كه احتمالاً این حمله سایبری توسط مجرمان حرفه ای سازمان دهی شده است.  بر اساس اطلاعات فایلهای رمزگشایی شده پیكربندی از سوی Fox-IT InTELL ، سرور Luuuk مرتبط با بدافزار ZeusP2P بوده و آدرس سرور یكسان می باشد. سرور به منظور هاست نمودن كد تزریق به مرورگر قربانیها همچنین ارسال خودكار مبالغ به واسطه های تعریف شده استفاده شده است.
 

همچنین md5 مورد استفاده در شبكه بات Luuuk به قرار زیر بوده كه مرتبط با بدافزار ZeusP2P می باشد: c8a3657ea19ec43dcb569772308a6c2f

مسئول سایت

تیم امنیت وب و تحقیقات سایبری پارسینگ با هدف اطلاع رسانی، آموزش، مشاوره، ایمن سازی و تحقیقات در حوزه امنیت سایبری در سال 1391 توسط مهندس علی اصغر جعفری لاری تاسیس گردید تا علاوه بر اهدافی همچون بالا بردن آگاهی کاربران عمومی نسبت به امنیت، مشاوره و ایمن سازی وبسایت های داخلی برای دفاع در برابر تهاجمات بیگانگان و ارائه تحقیقات سایبری روشن و شفاف برای تحقیق و توسعه پروژه ها توسط دانش پژوهان، بتواند با کسب رضایت و اعتماد مشتریان خود به عنوان یک تیم برتر در حوزه امنیت سایبری در ایران شناخته شود.

وبگاه: www.parsing.ir پست الکترونیکی این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

درباره پارسینگ

تیم امنیت وب و تحقیقات سایبری پارسینگ با هدف اطلاع رسانی، آموزش، مشاوره، ایمن سازی و تحقیقات در حوزه امنیت سایبری در سال 1391 توسط مهندس علی اصغر جعفری لاری تاسیس گردید تا علاوه بر اهدافی همچون بالا بردن آگاهی کاربران عمومی نسبت به امنیت، مشاوره و ایمن سازی وبسایت های داخلی برای دفاع در برابر تهاجمات بیگانگان و ارائه تحقیقات سایبری روشن و شفاف برای تحقیق و توسعه پروژه ها توسط دانش پژوهان، بتواند با کسب رضایت و اعتماد مشتریان خود به عنوان یک تیم برتر در حوزه امنیت سایبری در ایران شناخته شود.  

تماس با ما

تهران، اقدسیه، میدان ازگل، کوچه نوبهار، بن بست همیشه بهار، پلاک سوم

info[at]parsing[dot]ir

22196283 21 (98)

9120268477 (98)

پارسینگ را در گوگل محبوب کنید: