سرقت اطلاعات احراز هويت كاربران با تروجان Adwind

سرقت اطلاعات احراز هويت كاربران با تروجان Adwind به گزارش سيتنا به نقل از پايگاه اينترنتي ZDNet، بدافزار Adwind كه با اسامي AlienSpy و jRAT نيز شناخته مي شود، مي تواند چندين سيستم عامل را هدف قرار دهد و به طور معمول قربانيان را از طريق ايميل هاي فيشينگ، فايل نصبي مخرب نرم افزارها يا وب سايت هاي مخرب، انتخاب و آلوده مي كند. نوع جديدي از اين بدافزار اخيرا شناسايي شده است كه سيستم عامل ويندوز و برنامه هاي متداول ويندوز از جمله Internet Explorer و Outlook را همراه با مرورگرهاي مبتني بر Chromium، هدف قرار مي دهد. جديدترين نوع Adwind توسط يك فايلJAR  منتقل مي شود و هدف آن در پشت چندين لايه مبهم سازي و رمزگذاري شده قرار دارد كه باعث ناكارآمدي تشخيص مبتني بر امضا مي شود. هنگامي كه بدافزار ليست آدرس هاي سرور فرمان و كنترل را باز كند، Adwind فعال شده و قادر به دريافت دستورالعمل ها و ارسال اطلاعات سرقت شده از جمله اطلاعات احرازهويت بانكي، برنامه هاي تجاري و هرگونه گذرواژه ذخيره شده در يك مرورگر، به سرور ميزبان است. در آخرين نسخه Adwind، عملكرد بدافزار با استفاده از دستورات جاوا مخفي مي شود. توسعه دهندگان بدافزار اين كار را با مخفي كردن فايل هاي JAR مخرب در بين تعدادي از برنامه JAR مشروع انجام دادند و با استفاده از رمزگذاري، تشخيص فايل JAR اوليه و بارگذاري فايل هاي JAR اضافي از يك سرور از راه دور را دشوار كردند. تمامي اين موارد تشخيص فعاليت غير طبيعي را دشوار مي كنند. فعاليت مخرب Adwind زماني قابل شناسايي است كه اطلاعات به سرقت رفته در حال ارسال به سرور از راه دور هستند. بدافزار در طي اين فرايند از دستوراتي غير از جاوا استفاده مي كند. با اين حال، در اين مرحله آسيب مورد نظر بدافزار به پايان رسيده است. مجرمين سايبري، گونه اي از تروجان Adwind را بيش از پنج سال براي سرقت اطلاعات احرازهويت، ثبت رخدادهاي صفحه كليد، ضبط صدا و ساير اطلاعات مربوط به قربانيان استفاده مي كردند. كارشناسان معاونت بررسي مركز مديريت راهبردي افتاي رياست جمهوري مي گويند بررسي ترافيك وب و ايميل از راه كارهايي است كه مي تواند براي شناسايي تروجان Adwind و چنين بدافزارهايي به كار رود.