تروجان بانکی جدیدی به نام Emotet حتی با کانکشن HTTPS نیز فعال است

در ابتدا باید یاداور شد که اکثر تروجانهای بانکی با تزریق یا تغییر فرمهای بانکی روی سایتهای رسمی بانکها و مرورگر وب قربانی موفق به ربودن اطلاعات میشوند. اما این برنامه مخرب جدید که Emotet نامیده شده کاملا متفاوت عمل کرده و از API شبکه مرورگرهای وب برای ربودن ترافیک خروجی چه HTTP و چه HTTPS استفاده میکند.
　
انواع ملویر Emotet که مشتریان بانکهای انلاین المانی را هدف خود قرار داده اند کشف شده است. این ملویر توسط لینکهائی در اسپمهائی که ظاهرا برای اطلاع از واریز پول یا فاکتور هستند یافت شده است.
　
زمانیکه Emotet روی سیستم نصب میشود, عناصری دیگر و همچنین یک فابل تنظیمات حاوی یو ار ال را دانلود کرده و به شنود ترافیک شبکه دستگاه میپردازد. فایل تنظیماتی که توسط محققین ترند میکرو انالیز شده بخصوص سایتهای بانکی المانی را هدف قرار میداده است اما ممکن است انواع ان برای سایتهای بانکی کشورهای دیگری نیز وجود داشته باشد.
　
عنصر اصلی Emotet یک فایل DLL را دانلود کرده و انرا در همه پروسسهای در حال اجرا روی سیستم که شامل مرورگر نیز میشود تزریق میکند. کتایخانه ان توانائی کنترل ترافیک شبکه خروجی این پروسسها و جستجوی کدها یا زنجیره های قید شده در فایل تنظیمات انرا دارد. این ملویر تمام محتوای سایت را ضبط میکند یعنی تمام داده ها میتوانند ذخیره و یا ربوده شوند. فایل DLL میتواند تمام داده های یک سشن رمزنگاری شده را برباید چون مستقیما روی API شبکه استفاده شده مرورگرها است.
　
کاربر به سختی میتواند متوجه این روش سرقت اطلاعات شود و میتواند روی سایت بانک خود برود بدون اینکه متوجه شود که اطلاعات او ربوده شده اند.
　
ویژگی جالب توجه دیگر Emotet این است که داده ها را رمزنگاری کرده و انها را موقتا در رجیستری سیستم ذخیره میکند. احتمالا اینکار برای پرهیز از ساختن فایل روی سیستم و در نتیجه یافتن ان است.
　
ترند میکرو میگوید که بیشترین الودگی توسط این ملویر در اروپا و بخصوص در المان دیده شده است اما همچنین این الودگی در سایر نقاط جهان چون امریکای شمالی و اسیا-اقیانوسیه دیده شده است و این نشان میدهد که مختص یک منطقه بخصوص از جهان نیست.

منبع : ترفندستان