محققان شرکت IBM از انتشار بدافزاری با نام Shifu خبر داده اند که اقدام به سرقت اطلاعات بانکی کاربران می کند.
به گزارش گروه IBM X-Force، این بدافزار، علاوه بر کدهای پیچیده خود، از مجموعه کدهایی استفاده می کند که پیش تر در بدافزارهای بانکی دیگر همچون Shiz، Zeus و Dridex استفاده شده بود.
حتی به نظر می رسد بخشی از Shifu که برای حذف ردپای خود، اقدام به حذف داده های مربوط به System Restore Point می کند، از بدافزار مشهور اما قدیمی، Conficker الگوبرداری شده است.
Shifu، به نحوی طراحی شده که بتواند اطلاعات مختلف مالی همچون نام های کاربری و گذرواژه های حساب های مالی، اطلاعات اصالت سنجی وارد شده در فرم های HTTP و حتی توکن های اصالت سنجی خارجی را سرقت کند.
این بدافزار، قادر است که در صورت اجرا شدن بر روی سیستم متصل به دستگاه کارت خوان، اقدام به سرقت داده های مربوط به کارت های پرداخت متصل شده به آن دستگاه کند.
از دیگر ویژگی های قابل توجه Shifu، توانایی مسدود کردن ورود بدافزارهای جدید بر روی سیستم قربانی است.
فایل هایی که توسط Shifu مخرب تشخیص داده می شوند با عنوان infected.exx بر روی سیستم قربانی ذخیره شده و سپس به سرورهای فرماندهی نویسندگان این بدافزار ارسال می شوند.
هدف از این کار، اجرا شدن اختصاصی بدافزار Shifu بر روی دستگاه کاربر است. ضمن اینکه نویسندگان Shifu می توانند با بررسی فایل های ارسال شده به سرورهای فرماندهی از فعالیت بدافزارنویسان دیگر آگاه شوند.
بر طبق آمار گروه IBM X-Force، کشور ژاپن بیشترین سهم از آلودگی ها را به خود اختصاص داده است.
از روی عبارات استفاده شده در کدهای این بدافزار، به نظر می رسد نویسندگان آن روسی زبان هستند. هر چند که ممکن است که هدف از درج این عبارات، مخفی ساختن هویت نویسندگان Shifu باشد.
توضیح اینکه بدافزار مذکور، توسط ضدویروس های McAfee و Bitdefender،بترتیب:
با نامهای:
RDN/Ransom
و
Trojan.GenericKD.2652001 شناسایی و پاکسازی می شود.
فسا-پسا
