IRCERT - برنامه اي براي سرقت كلمات عبور

صفحه اول > اخبار و هشدارها

برنامه اي براي سرقت كلمات عبور

29 ژوئن 2004 – 9 تير 1383

محققان امنيتي امروز هشدار دادند كه يك برنامه خطرناك كه خود را از طريق يك pop-up نصب مي كند ،‌ مي تواند هنگام مراجعه كاربران به حدود 50 سايت بانكي كليدهاي فشرده شده را بخواند و كلمات عبور را سرقت كند. سايتهاي موسسات مالي بزرگ مانند Citibank ، Barclays Bank و Deutsche Bank از جمله سايتهاي هدف هستند.

ماركوس ساچز – مدير مركزي كه تهديدهاي اينترنتي را مانيتور مي كند – در اين باره مي گويد :‌“ هنگامي كه برنامه تشخيص دهد كه شما در يكي از اين سايتها هستيد ، شروع به ثبت كليدهاي فشرده شده مي كند.“ با وجودي كه تمام سايتهاي مالي از رمزنگاري مجمتمع در مرورگر استفاده مي كنند تا داده وارد شده را حفاظت كنند ، برنامه اسب تروا مي تواند اطلاعات را پيش از رمزشدن بردارد. چون اطلاعات بين صفحه كليد و كامپيوتر رمز نمي شود بلكه هنگام قرار گرفتن روي وب عمليات رمزنگاري انجام مي پذيرد.

ساچز مي گويد كه اين اسب تروا براي اولين بار روي كامپيوتر يكي از كارمندان يكي از شركتهاي بزرگ dot com كشف شده است. اين برنامه با كمك يك تبليغ pop-up و با استفاده از حفره امنيتي موجود در IE توانسته بود روي كامپيوتر قرباني خود را نصب كند. مايكروسافت مي گويد كه به زودي اصلاحيه مربوطه را ارائه خواهد كرد اما تا پيش از آن بهتر است كاربران تنظيمات امنيتي مرورگر خود را بالا ببرند و درجه آن را به high افزايش دهند.

دو مشكل امنيتي ديگر نيز در ماه جاري در IE كشف شده بود كه اولي باعث بروز آلودگي از طريق سايتها شده بود و ديگري يك toolbar را روي كامپيوترهاي قرباني نصب مي كرد. اسب ترواي جديد با حمله نرم افزاري وب سايتها در هفته گذشته متفاوت است اما اين دو مي توانند با هم مورد استفاده قرار گيرند و نرم افزارهاي جاسوسي را گسترش دهند.

محققان فايل اسب تروا را كه img1big.gif نام دارد، مورد بررسي قرار داده اند. آنها با استفاده از مهندسي معكوس متوجه شده اند كه اين برنامه ليستي طولاني از بانكها را هدف قرار داده و سعي كرده است تا اطلاعات حساب مشتريان اين موسسات مالي را سرقت كند. از آنجايي كه پسوند اين فايل gif است ،‌اسب ترواي مزبور مي تواند خود را به جاي يك فايل گرافيكي معمولي جا بزند.اما در واقع دو برنامه وجود دارد: يك فايل helper مرورگر كه به طرز مشكوكي نام كاربران و كلمات عبور آنها را سرقت مي كند و يك file dropper كه يك برنامه ثبت كليدهاي فشرده شده را روي كامپيوتر قرباني نصب مي كند. بنابه گفته ساچز اولين فايل خود را با كمك يك حفره قديمي IE اجرا مي كند و دومين فايل از مشخصه موجود در بسياري از مرورگرها كه helper files نام دار استفاده مي كند تا داده را در اختيار بگيرد. وي مي گويد :“ پيش از مرور داده توسط مرورگر ، يك فيال helper مي تواند آن را مورد پردازش قرار دهد. در اين روش از همين خصوصيت كه در همه مرورگرها وجود دارد استفاده شده است.“

هنگامي كه اطلاعات برداشته شد ، توسط برنامه اي كه روي سرور اينترنت قرار دارد رمز مي شود و براي هكرها فرستاده مي شود.