به نقل از ZDNet، در موج حمله اخیر، این بدافزار خود را به جای سیستمهای Google reCAPTCHA جا میزند و قربانیان را به کلیک روی لینکهای مخرب جاسازی شده در ایمیلهای کلاهبرداری، مجاب میکند. این ایمیلها حاوی یک لینک تأیید جعلی برای یک تراکنش، به همراه لینک به یک فایل .PHP مخرب هستند. پیامهای فرستاده شده به قربانیان از آنها میخواهد با کلیککردن روی لینک، این تراکنشها که وجود خارجی ندارند را تایید کنند.
این روش حمله جدید نیست، اما مرحله بعدی آن غیرمعمول است. اگر قربانی متوجه جعلی بودن پیام نشود و روی پیوند کلیک کند، به نسخه کپی و جعلی سایت بانک فرستاده نمیشود، بلکه فایل PHP یک صفحه جعلی با خطا ۴۰۴ را نمایش میدهد. این صفحه حاوی چندین user-agent خاص است که مربوط به خزنده وب گوگل هستند. اگر درخواست، مربوط به خزنده وب گوگل نبوده یا به عبارت دیگر از موتورهای جستجوی دیگر باشد، اسکریپتPHP یک reCAPTCHA جعلی گوگل را که متشکل از کد جاوااسکریپت و HTML ثابت و استاتیک است، بارگیری میکند.
این صفحه جعلی reCAPTCHA به خوبی عمل میکند، اما از آنجا که بر عناصر استاتیک تکیه میکند، تصاویر آن همیشه ثابت هستند، مگر این که کد فایل مخرب PHP تغییر کند. علاوه بر این، بر خلاف نسخه واقعی، این صفحه reCAPTCHA جعلی از پخش صوتی نیز پشتیبانی نمیکند.
در ادامه یک دراپر فایل ZIP در کنار یک فایل APK مخرب برای کاربران اندرویدی، منتقل میشود. بدافزار اغلب به فرم اندروید خود دیده شده است و قادر به استخراج وضعیت، موقعیت مکانی و مخاطبین یک دستگاه تلفنهمراه است. همچنین توانایی پویش و ارسال پیامک، برقراری تماستلفنی، ضبط صدا و سرقت اطلاعات حساس دیگر را دارد. این تروجان به نامهای Banker، BankBot، Evo-gen، Artemis و چند نام دیگر توسط آنتیویروسها شناخته میشود.
انتهای پیام/