به گزارش حوزه دنیای ارتباطات گروه فضای مجازی باشگاه خبرنگاران جوان، پژوهشگران به تازگی کمپین فیشینگی را شناسایی کرده‌اند که کاربران برنامه‌های آنلاین بانکی را هدف قرار داده و با جازدن خود به عنوان گوگل در تلاش برای سرقت اطلاعات با ارزش آن‌ها است.

به نقل از ZDNet، در موج حمله اخیر، این بدافزار خود را به جای سیستم‌های Google reCAPTCHA جا می‌زند و قربانیان را به کلیک روی لینک‌های مخرب جاسازی شده در ایمیل‌های کلاهبرداری، مجاب می‌کند. این ایمیل‌ها حاوی یک لینک تأیید جعلی برای یک تراکنش، به همراه لینک به یک فایل .PHP مخرب هستند. پیام‌های فرستاده ‌شده به قربانیان از آن‌ها می‌خواهد با کلیک‌کردن روی لینک، این تراکنش‌ها که وجود خارجی ندارند را تایید کنند.

این روش حمله جدید نیست، اما مرحله بعدی آن غیرمعمول‌ است. اگر قربانی متوجه جعلی‌ بودن پیام نشود و روی پیوند کلیک‌ کند، به نسخه کپی و جعلی سایت بانک فرستاده نمی‌شود، بلکه فایل PHP یک صفحه جعلی با خطا ۴۰۴ را نمایش می‌دهد. این صفحه حاوی چندین user-agent خاص است که مربوط به خزنده وب گوگل هستند. اگر درخواست، مربوط به خزنده وب گوگل نبوده یا به عبارت دیگر از موتورهای جستجوی دیگر باشد، اسکریپتPHP یک reCAPTCHA جعلی گوگل را که متشکل از کد جاوااسکریپت و HTML ثابت و استاتیک است، بارگیری می‌کند.

این صفحه جعلی reCAPTCHA به خوبی عمل ‌می‌کند، اما از آن‌جا که بر عناصر استاتیک تکیه می‌کند، تصاویر آن همیشه ثابت هستند، مگر این که کد فایل مخرب PHP تغییر کند. علاوه بر این، بر خلاف نسخه واقعی، این صفحه reCAPTCHA جعلی از پخش صوتی نیز پشتیبانی نمی‌کند.

در ادامه یک دراپر فایل ZIP در کنار یک فایل APK مخرب برای کاربران اندرویدی، منتقل می‌شود. بدافزار اغلب به فرم اندروید خود دیده‌ شده ‌است و قادر به استخراج وضعیت، موقعیت مکانی و مخاطبین یک دستگاه تلفن‌همراه است. همچنین توانایی پویش و ارسال پیامک، برقراری تماس‌تلفنی، ضبط صدا و سرقت اطلاعات حساس دیگر را دارد. این تروجان به نام‌های Banker، BankBot، Evo-gen، Artemis و چند نام دیگر توسط آنتی‌ویروس‌ها شناخته می‌شود.

انتهای پیام/