عملیات بین المللی با رهبری آژانس رسیدگی به جرائم انگلیس، بزرگ ترین ضربه ی ممکن را به خطر ناک ترین تروجان بانکی دنیا، شای لاک وارد کرد و پس از سال ها باعث توقف فعالیت های این بدافزار شد. تمامی کارگزار های فرمان دهی و کنترل به علاوه ی تمام دامنه هایی که بدافزار شای لاک برای ارتباط با رایانه های آلوده از آن ها استفاده می کرده است در نتیجه ی این عملیات به خاموشی فرو رفتند. بدافزار شای لاک، با هدف ره گیری و سرقت اطلاعات تراکنش های مالی برخط طراحی شده بود، به گفته ی محققین به نظر می رسید که توسعه دهندگان این بدافزار از کشور روسیه باشند. تروجان مذکور دست کم از سال 1122 فعال بوده و به تعداد زیادی از بانک های عمدتاً انگلیسی حمله کرده است. البته در میان قربانیان، بانک های سایر کشورهای اروپایی و حتی آمریکا نیز به چشم می خورند. تروجان شای لاک نسبت به سایر بدافزار های بانکی بسیار پیش رفته است، برخی از قابلیت های این تروجان در ادامه آورده شده است. توسعه دهندگان بدافزار شای لاک، به شبکه ی توزیع شده بسیار پیش رفته ای دست رسی دارند که امکان آلودگی هرچه بیش تر قربانیان را در گستره ی جهانی از طریق کانال های مختلف فراهم می کند. حملات بدافزای شای لاک با یک نگرش کاملاً حرفه ای انجام می شده است و در طی چند سال این بدافزار دائماً به روز شده و توانایی دور زدن اقدامات امنیتی که بانک ها برای مقابله با این بدافزار انجام می داده اند را داشته است. ?
بدافزار ذاتاً به صورت مولفه ای توسعه پیدا کرده است و همین ویژگی این امکان را می دهد تا مهاجمان به آسانی ویژگی ها
و کارکرد های بیش تری به آن اضافه کنند و کد جدیدی توسعه دهند.
?
تروجان شای لاک هیچ گاه در انجمن های زیر زمینی برای فروش ارائه نشده است و تنها مهاجمان اصلی به کد این بدافزار
دست رسی دارند.
?
شرکت امنیتی سیمنتک گزارش داده است که توسعه دهندگان بدافزار شای لاک، در سه سال گذشته چندین میلیون دلار را به
سرقت برده اند و بیش از 06 هزار سامانه ی آلوده به این بدافزار در سراسر دنیا کشف شده است. عملیات اخیر برای خاموشی همیشگی این بدافزار، در طی چندین مرحله و به صورت بین المللی انجام شده است و دز حین عملیات مذکور، پلیس های مقابل با جرائم سایبری در برخی کشورها عملیاتی را علیه بدافزار های زئوس و مهاجمین پشت بدافزار
Blackshades RAT نیز انجام داده اند .
اطلاعات کلی از بدافزار شای لاک
بدافزار شای لاک نخستین بار در سال 1622 کشف شد و گستره ی آلودگی این بدافزار به سرعت رشد کرد و حتی در اولین نسخه ی
این بدافزار، توسعه دهندگان به خوبی توانسته بودند یک بدافزار بسیار پیش رفته طراحی کنند، در اولین روز های ماه جولای سال
1622 که این بدافزار برای اولین بار دیده شد، گستره ی آلودگی بسیار کم بود و کارشناسان امنیتی تصور می کردند که به خوبی این
بدافزار را کنترل کرده اند. اما در اواخر سال 1622 ، سرعت انتشار این بدافزار به صورت نمایی رشد پیدا کرد.
غالب نمونه های آلوده به این بدافزار در سال 1621 ایجاد شده است، اما روند انتشار در سال های 1622 و 1622 متوقف نشد و
بدافزار شای لاک تمرکز اصلی خود را روی آلودگی مشتریان بانک های انگلیس و آمریکا قرار داد.
در نمودار زیر گسترش این بدافزار در یک سال گذشته از ژوئن 1622 تا مه 1622 مشاهده می شود:
بدافزار شای لاک به صورت هوشمندانه ای در بین کشور هایی منتشر می شد که کاربران با توجه به خدمات برخط بانکی با احتمال
بیش تری تراکنش های برخط مالی داشتند، بنابراین کشور های انگلیس و آمریکا دارای بیش ترین نمونه های آلوده به این بدافزار بوده اند
و تمرکز اصلی جغرافیایی مهاجمان محسوب می شده اند.
شای لاک چگونه کار می کرد؟
روش اصلی سرقت اطلاعات در تروجان بانکی شای لاک، حملات مرد میانی در مرورگر کاربر قربانی بوده است. مهاجمین با
سوء استفاده از آسیب پذیری های مرورگر کاربران قربانی، اطلاعات نمایش داده شده در مرورگر را دست کاری می کردند و اطلاعات
دیگری به کاربران نمایش می دادند و حتی این تروجان به قدری پیش رفته بود که توانایی دور زدن احراز هویت دومرحله ای که توسط
برخی بانک های انگلیس راه اندازی شده بود را نیز داشت.
تروجان شای لاک، از روشی موسوم به
ATS
، سرویس تراکنش خودکار، استفاده می کرد، این روش می توانست برخی تراکنش های
جعلی را در پس زمینه ایجاد کند
?
جمع آوری اطلاعات در مورد حساب بانکی و اطلاعات مانده حساب کاربر
?
انجام تراکنش های جعلی در پس زمینه
?
حملات مهندسی اجتماعی علیه قربانی، فریب کاربران با ارائه یک کلید امن برای رمز گذاری ارتباط بانکی
?
پنهان کردن فعالیت ها در تراکنش کاربر و تغییر اطلاعات مالی حساب بانکی
?
تغییرات لازم برای تنظیم درصد و ارزش بودجه های حساب برای فرار از تشخیص تقلب در حساب بانکی )تغییرات در
مقدار قسط وام ها، سود دریافتی و
... )
به محض سرقت اطلاعات ورودی به حساب کاربر، مهاجمین سعی می کردند فعالیت هایی را انجام دهند که حضور شخص دیگری در
تراکنش ها را پنهان سازد، ولی در حالت کلی کنترل حساب قربانی را دست داشتند، اما تنها برای ماندگاری بیش تر از روش های
مختلف برای انحراف بازرسان بانکی و قربانیان استفاده می کردند. به طور مثال، پنجره ای به کاربر نمایش داده می شد که ظاهر اً در
حال بررسی برخی تنظیمات امنیتی در رایانه ی قربانی بوده است:
به محض این که عملیات تراکنش جعلی به پایان می رسید، از کاربر خواسته می شد تا کپچای 0 رقمی را در صفحه وارد کند، )البته
صفحه ی جعلی که توسط بدافزار نمایش داده می شد(
این بدافزار از مدت ها پیش توسط محصولات ضدبدافزاری شناخته می شد و با عملیات اخیر، تمام روش های مورد استفاده از این
بدافزار مسدود شده است و کافی است کاربران از آلوده نبودن رایانه های خود مطمئن شوند تا از خطرات احتمالی در امان باشند و به
صورت دستی به دنبال پرونده هایی که نام آن ها در الگو های زیر قرار می گیرد باشید و آن ها را از رایانه ی خود حذف کنید
:
?
28-11 brevi statement_[DIGITS].pdf.exe
?
copy #2 of invoice_[DIGITS].pdf.exe
?
download_document_[DIGITS].pdf.exe
?
f138-dec-12-2013-sorry_[DIGITS].pdf.exe
?
invoice_[DIGITS].pdf.exe
?
invoice_[DIGITS].pdf.exe
?
luca[DIGITS].pdf.exe
?
private_[DIGITS].pdf.exe
?
servidor hpinvoice_[DIGITS].pdf.exe
?
skype_update_december2013_patch[DIGITS].pdf.exe
?
sorry_[DIGITS].pdf.exe
?
statement_[DIGITS].pdf.exe
از آن جایی که خدمات بانکداری الکترونیک در کشور با رشد خوبی همراه بوده است، بعید نیست که بدافزار مشابهی حملات جدیدی
را علیه کاربران خدمات برخط بانکی کشور شروع کند، به همین دلیل توصیه می شود از عدم آلودگی رایانه ها و دستگاه های تلفنی که
برای خدمات مذکور استفاده می شوند اطمینان حاصل کنید و به صورت دوره ای گذرواژه خود را تغییر داده و هر مورد غیر طبیعی
در تراکنش های مالی خود را بانک ها گزارش دهید.
