IRCERT - برنامه ای برای سرقت کلمات عبور

صفحه اول > اخبار و هشدارها

برنامه ای برای سرقت کلمات عبور

29 ژوئن 2004 – 9 تیر 1383

محققان امنیتی امروز هشدار دادند که یک برنامه خطرناک که خود را از طریق یک pop-up نصب می کند ،‌ می تواند هنگام مراجعه کاربران به حدود 50 سایت بانکی کلیدهای فشرده شده را بخواند و کلمات عبور را سرقت کند. سایتهای موسسات مالی بزرگ مانند Citibank ، Barclays Bank و Deutsche Bank از جمله سایتهای هدف هستند.

مارکوس ساچز – مدیر مرکزی که تهدیدهای اینترنتی را مانیتور می کند – در این باره می گوید :‌“ هنگامی که برنامه تشخیص دهد که شما در یکی از این سایتها هستید ، شروع به ثبت کلیدهای فشرده شده می کند.“ با وجودی که تمام سایتهای مالی از رمزنگاری مجمتمع در مرورگر استفاده می کنند تا داده وارد شده را حفاظت کنند ، برنامه اسب تروا می تواند اطلاعات را پیش از رمزشدن بردارد. چون اطلاعات بین صفحه کلید و کامپیوتر رمز نمی شود بلکه هنگام قرار گرفتن روی وب عملیات رمزنگاری انجام می پذیرد.

ساچز می گوید که این اسب تروا برای اولین بار روی کامپیوتر یکی از کارمندان یکی از شرکتهای بزرگ dot com کشف شده است. این برنامه با کمک یک تبلیغ pop-up و با استفاده از حفره امنیتی موجود در IE توانسته بود روی کامپیوتر قربانی خود را نصب کند. مایکروسافت می گوید که به زودی اصلاحیه مربوطه را ارائه خواهد کرد اما تا پیش از آن بهتر است کاربران تنظیمات امنیتی مرورگر خود را بالا ببرند و درجه آن را به high افزایش دهند.

دو مشکل امنیتی دیگر نیز در ماه جاری در IE کشف شده بود که اولی باعث بروز آلودگی از طریق سایتها شده بود و دیگری یک toolbar را روی کامپیوترهای قربانی نصب می کرد. اسب تروای جدید با حمله نرم افزاری وب سایتها در هفته گذشته متفاوت است اما این دو می توانند با هم مورد استفاده قرار گیرند و نرم افزارهای جاسوسی را گسترش دهند.

محققان فایل اسب تروا را که img1big.gif نام دارد، مورد بررسی قرار داده اند. آنها با استفاده از مهندسی معکوس متوجه شده اند که این برنامه لیستی طولانی از بانکها را هدف قرار داده و سعی کرده است تا اطلاعات حساب مشتریان این موسسات مالی را سرقت کند. از آنجایی که پسوند این فایل gif است ،‌اسب تروای مزبور می تواند خود را به جای یک فایل گرافیکی معمولی جا بزند.اما در واقع دو برنامه وجود دارد: یک فایل helper مرورگر که به طرز مشکوکی نام کاربران و کلمات عبور آنها را سرقت می کند و یک file dropper که یک برنامه ثبت کلیدهای فشرده شده را روی کامپیوتر قربانی نصب می کند. بنابه گفته ساچز اولین فایل خود را با کمک یک حفره قدیمی IE اجرا می کند و دومین فایل از مشخصه موجود در بسیاری از مرورگرها که helper files نام دار استفاده می کند تا داده را در اختیار بگیرد. وی می گوید :“ پیش از مرور داده توسط مرورگر ، یک فیال helper می تواند آن را مورد پردازش قرار دهد. در این روش از همین خصوصیت که در همه مرورگرها وجود دارد استفاده شده است.“

هنگامی که اطلاعات برداشته شد ، توسط برنامه ای که روی سرور اینترنت قرار دارد رمز می شود و برای هکرها فرستاده می شود.