تروجان بانکی بدسابقه*ی زئوس ۶۴ بیتی شد. اما چرا؟
محققان شرکت امنیتی کسپرسکی موفق به کشف گونه*ی جدیدی از تروجان زئوس شده*اند که بسیار شبیه به نمونه*ی ۳۲ بیتی خود عمل می*کند: این نسخه هم از تزریق وب برای سرقت اطلاعات محرمانه*ی بانکی و تخلیه*ی حساب*های بانکی برخط، ربودن مجوزهای دیجیتالی و حتی ثبت رویدادهای صفحه*کلید استفاده می*کند. گفتنی است این نسخه*ی ۶۴ بیتی از شبکه*های ناشناس تور برای برقراری ارتباط با کارگزارهای فرمان*دهی و کنترل خود کمک می*گیرد.
هدف از ارائه*ی زئوس ۶۴ بیتی کمی مبهم است. همان*طور که یکی از محققان کسپرسکی به نام دیمیتری تاراکانوف به آن اشاره داشته، کمتر از ٪۱ از کاربران اینترنت اکسپلورر از نسخه*ی ۶۴ بیتی استفاده می*کنند، حتی آن دست از کاربرانی که سامانه*های عامل ۶۴ بیتی را در اختیار دارند مرورگرهای ۳۲ بیتی را اجرا می*نمایند.
شاید این تنها یک حیله*ی بازاریابی باشد، یک قابلیت تازه که عامل «عجیب*بودن» نیز چاشنی آن شده است، حتی اگر این ویژگی چندان هم قابل استفاده نباشد. نباید فراموش کرد که پشتیبانی از مرورگرهای ۶۴ بیتی راه بسیار خوبی برای تبلیغ این محصول و فریب خریداران (اپراتورهای بات*نت*ها) است.
در حالی که در دنیای امروز پشتیبانی از نسخه*های ۶۴ بیتی بیش از یک ضرورت محسوب می*شود، افزودن چنین قابلیتی زئوس را به تروجانی پرکاربرد و موفق در آینده مبدل می*سازد. همچنین به*کارگیریِ تور به عنوان یک بستر ارتباطی، اگرچه منحصر به زئوس نیست، اما می*تواند این بدافزار را در دسته*ای از تروجان*های به*خصوص قرار دهد.
هدف پشت پرده*ی این تحول هر چه که هست، خواهد یک شگرد بازاریابی باشد و خواه پیش*زمینه*ای برای برآورده ساختن نیازهای آینده، زئوس ۶۴ بیتی به هر حال وجود دارد و می*توانیم نتیجه بگیریم که نقطه*ی عطف تازه*ای در تکامل این قطعه*ی بدافزاری حاصل شده است.
کد منبع زئوس از بهار ۲۰۱۱ به*صورت برخط در دسترس بوده است. از آن زمان تاکنون تغییرات متعددی در این تروجان حاصل شده، نظیر نسخه*هایی که از طریق شبکه*های نظیر به نظیر ارتباط برقرار می*کنند. این بدافزار به کمک یک سری تزریق*های وب مخرب راه خود را به مرورگر کاربر باز می*کند، این کدهای مخرب زمانی به جریان می*افتند که کاربر قربانی از حساب*های بانکی برخط خود بازدید به عمل می*آورد. زئوس از اطلاعات محرمانه*ی کاربر گزارش تهیه می*کند و گزارش مورد نظر را به مهاجم مربوطه ارسال می*نماید، این اتفاق می*تواند با اتصال مستقیم مبتنی بر در پشتی به یک کارگزار مرکزی بیافتد و یا به واسطه**ی گرهی در زنجیره*ی P2P حاصل شود. استفاده*ی این نسخه از تور قابلیت*های رادار گریزی را به این تروجان بانکی اضافه می*نماید، قابلیتی که حتی آژانس امنیت ملی آمریکا را نیز با شکست مواجه کرده است.
محقق کسپرسکی نمونه*ی ۶۴ بیتی زئوس را در ماه ژوئن در نسخه*ی ۳۲ بیتی این بدافزار رؤیت نمود. تاریخ کامپایل این بدافزار ۲۹ آوریل بوده است. بنا به گفته*ی تاراکانوف، نسخه*ی ۶۴ بیتی Tor.exe را به*طور غیرمستقیم راه*اندازی می*کند. این بدافزار در وهله*ی اول برنامه*ی کاربردی svchost را در حالت معلق1 اجرا می*کند، سپس کد تور را در آن فرآیند تزریق می*نماید. در ادامه زئوس به نحوی فرآیند مورد نظر را تنظیم می*کند که تور، تحت پوشش svchost به اجرا درآيد. این تروجان مرورگر را به اجرای ترافیک از طریق پورت شماره*ی ۹۰۵۰ TCP وادار می*کند، اطلاعات به*سرقت*رفته هم در نهایت در یک دامنه*ی onion (به نام egzh3ktnywjwabxb[.]onion) ذخیره می*شوند.
تاراکانوف می*گوید زئوس سرویس مخفیانه*ای را ایجاد می*کند که به تهیه*ی پرونده*ی پیکربندی برای هر میزبان آسیب*دیده می*پردازد، این پرونده دربرگیرنده*ی کلید خصوصی و دامنه*ی منحصربه*فردی برای هر سرویس است. سپس بات*مستر می*تواند به دامنه*های onion خاص وصل شود، این اتفاق زمانی می*افتد که دامنه*های مذکور برخط هستند. بات*مستر همچنین از یک قابلیت کنترل از راه دور در زئوس برای کنترل سامانه*ی قربانی استفاده می*نماید.
این نسخه*ی تازه*ی زئوس دارای فهرستی متشکل از بیش از ۱۰۰ برنامه است که در صورت وجود در سامانه*ی قربانی اجرا می*شوند.
این برنامه*ها انواع و اقسام متعددی دارند اما ویژگی مشترک آن*ها در این است که تمامی آن*ها حاوی اطلاعات ارزش*مندی مانند اطلاعات محرمانه*ی ورود به سامانه، گواهی*نامه*ها و غیره می*باشند.
زئوس قادر است از رخدادهای صفحه*کلید، قبل و بعد از رمزگذاری، گزارش تهیه کند. از این رو زئوس با اجرا در این برنامه*ها می*تواند اطلاعات فراوانی را ره*گیری و نیز به اپراتور بات*نت ارسال نماید.
منبع
