گونه جدید تروجان زئوس با نام کتانیک در کمین کاربران بانکی جهان

محققین آزمایشگاه کسپرسکی اخیراً مؤفق به شناسایی گونه جدیدی از بدافزار زئوس شدند که کتانیک نام گرفته است، که این نام هم برگرفته از نام اسطوره‌ای در افسانه‌های یونان باستان بوده، و 150 بانک، 20 سیستم پرداخت در 15 کشور را مورد هدف قرار دادند.

زئوس، همانطور که از نام آن بر‌می‌آید، پادشاه بدافزارهای بانکی است که برای اولین بار در سال 2007 شناسایی شد و بزرگترین حملات سایبری به بانکها از آن پس به این بدافزار مرتبط بوده است. در سال 2011، نویسندگان این کد، کد آن را برای عموم ارائه دادند و این امر نه تنها برخلاف تصور پایان کار این بدافزار را رقم نزد، بلکه سایر سودجویان با در دست داشتن کد اوپن سورس این بدافزار که ماهیتی کاملاً انعطاف پذیر داشت توانستند نسخه های جدیدتری از بدافزارها را نظیر GameOver، Zitmo و برخی موارد دیگر را نیز بنویسند.

کتانیک ضمن جمع‌آوری اطلاعات سیستم، اقدام به سرقت پسوردها یا کلمات عبور ذخیره شده مینماید، لاگ تمامی کلیدها و کاراکترهای تایپ شده را ثبت مینماید، امکان ارتباط از راه دور را برای افراد کنترل کننده خود فراهم میسازد، و همچنین قادر به فعالسازی وبکم و سیستم ضبط صدا در رایانه های مورد حمله میباشد.

کتانیک پس از آلوده سازی سیستم میزبان، ضمن جمع‌آوری اطلاعات سیستم، اقدام به سرقت پسوردها یا کلمات عبور ذخیره شده نموده، لاگ تمامی کلیدها و کاراکترهای تایپ شده را ثبت مینماید، امکان ارتباط از راه دور را برای افراد کنترل کننده خود فراهم میسازد، و همچنین قادر به فعالسازی وبکم و سیستم ضبط صدای سیستم های قربانی از راه دور میباشد. در نهایت باید بگوییم هدف کلی این بدافزار دو لایه میباشد یکی بدست آوردن اطلاعات بانکی کاربر قربانی و دیگری فراهم سازی اتصال از راه دور افراد حمله کننده و تحت کنترل قرار دادن سیستم های قربانی توسط این افراد میباشد تا راحتتر اقدام به کلاهبرداری‌های مالی نمایند.

کتانیک نیز، همانند تروجان‌های بانکی قبلی، تکنیک‌های نفوذ از طریق صفحات آلوده وب را بکار میگیرد تا صفحات جعلی را با صفحات بانکها یا درگاههای معتبر پرداخت بانکی جایگزین نمایند. بدین ترتیب، کاربران و مشتریان ناغافل سیستم بانکی اطلاعات خود را براحتی در اختیار مجرمین و سودجویان پشت پرده این بدافزارها قرار میدهند بدون آنکه پی به این موضوع ببرند که این صفحه جعلی است و جایگزین صفحه اصلی بانک یا صفحه خرید شده است. مزیت این تکنیک این است که مجرم سایبری علاوه بر اطلاعات اصلی، به اطلاعات لازم برای دومین مرحله احراز هویت (نظیر کد ارسالی از طریق پیامک، در سیستم های احراز هویت دومرحله ای) نیز دست می یابد، چراکه کاربر این اطلاعات را همان لحظه مستقیماً از طریق مرورگر هک شده یا روی صفحه و وبسایت جعلی وارد مینماید.

کتانیک عمدتاً موسسات بانکی کشورهای انگلستان، اسپانیا، آمریکا، روسیه، ژاپن و ایتالیا را مورد هدف قرار داده است. در ژاپن، این بدافزار سرو صدای زیادی در بین سیستم های امنیتی بانکی داشته است چراکه بواسطه یک اسکریپت، فرد حمله کننده به کاربران این موسسات بانکی میتواند براحتی اقدام به انجام تراکنشهای مالی از طریق حساب کاربر قربانی نمایند. در روسیه نیز، کاربران مورد حمله حتی نمیتوانند به سایت بانکداری دسترسی داشته باشند چرا که کنترل کننده این بدافزار با تعبیه یک اسکریپت یا  iframe وی را به صفحه‌ای اگرچه کاملاً مشابه و ظاهرفریب ولی جعلی با اهداف فیشینگ هدایت میکند.

بهرحال، پیش از اینکه سرقت نهایی اطلاعات بانکی رخ دهد، این آلودگی و توفیق این حملات منوط بر این است که کاربر در وهله اول مورد حمله خود بدافزار Chthonic  قرار گیرد. کتانیک، همانطور که در مورد سایر بدافزارها نیز صدق میکند، سیستم کاربران قربانی را در معرض لینک ها و پیوست های ایمیل مخرب و آلوده قرار میدهد. در سایر موارد نیز، این حمله منجر به دانلود فایلی با فرمت .DOC روی سیستم کاربر قربانی میگردد که این سند حاوی کدی با فرمت بندی است که بموجب آن امکان اتصال از راه دور به این سیستم برای مجرم سایبری فراهم میگردد که البته این آسیب پذیری مجموعه آفیس در ماه آوریل توسط مایکروسافت بر طرف گردید. و در نهایت همانگونه که در توضیحات و استراتژی کارکرد این بدافزار و موارد مشابه آنها عنوان شد، میتوان به کاربرانی که همواره از آخرین بروزرسانی های نرم افزاری (سیستم عامل و نرم افزارهایی نظیر آفیس) بهره می‌برند، و همچنین تمامی کاربران محصولات امنیتی کسپرسکی از حملات این بدافزارها در امان بوده و خواهند بود. آنتی ویروس های برتر کسپرسکی نظیر کسپرسکی اینترنت سکیوریتی و کسپرسکی ناب، با قابلیت های گوناگون خود، همواره ضمن برقراری امنیت اینترنت و وبگردی برای کاربران، آنها را از گزند انواع بدافزارها، حملات فیشینگ، و هک یا تهدیدات گوناگون سایبری در امان نگاه می‌دارد.