با توجه به یافتههای محققان، نوع جدیدی از بدافزار مالی Ramnit به
منظور سرقت اعتبارنامههای ورود برای حساب کاربری Steam، در تزریق مرورگر
وب محلی مورد استفاده قرار می گیرد.
به گزارش سافتگذر به نقل از فن آوری اطلاعات ایران از
ایسنا، Ramnit یک کرم کامپیوتری است که برای اولین بار در سال ۲۰۱۰ کشف
شد. در آن زمان این کرم از طریق آلوده کردن فایل های اجرایی، مایکروسافت
آفیس و HTML بر روی کامپیوترهای محلی گسترش یافته بود.
این بدافزار میتواند کوکیهای مرورگر و اعتبارنامههای FTP که به صورت
محلی ذخیره شدهاند را به سرقت ببرد. هم چنین می تواند به منظور تغییر
فرمهای وب و تزریق کد مخرب به صفحات وب از یک روش شناخته شده به نام حمله
MitB استفاده کند.
عملکرد MitB معمولا توسط بدافزارهای مالی برای فریب کاربران بانکداری
آنلاین به منظور افشای اطلاعات شخصی و مالی آنها مورد استفاده قرار می
گیرد.
محققان امنیتی از شرکت Trusteer، اخیرا گونه جدیدی از این بدافزار را
شناسایی کردهاند که کاربران Steam، یکی از بزرگترین توزیع کنندگان پلت
فرمهای چند نفره آنلاین برای بازی های کامپیوتری را مورد هدف قرار داده
است.
مجرمان سایبری حساب های کاربری Steam را با استفاده از بدافزار و حملات
سرقت هویت مورد هدف قرار داده اند. با این حال، بدافزار Ramnit برای سرقت
اعتبارنامههای ورودی کاربران از روشهای پیشرفته دیگری مانند تزریق وب
استفاده می کند.
با توجه به یافتههای محققان، هنگامی که یک کاربر به صفحه ورودی Steam
Community دسترسی می یابد و نام کاربری و رمز عبور خود را وارد میکند، فرم
مربوطه با استفاده از کلید عمومی سایت رمزگذاری می شود. برای غلبه بر این
موضوع، Ramnit فرم را به گونهای تغییر می دهد که به آن اجازه دهد تا از
متن ساده رمز عبور کپی تهیه کند. کاربر این تغییر را حس نمی کند زیرا در
صفحه ورودی هیچ تغییری رخ نداده است.
هنگامی که کاربر فرم را تکمیل می کند و آن را ثبت می کند، این بدافزار
درخواست ها را ردگیری می کند و دادهها را از فیلد رمزگذاری نشده فرم می
خواند و قبل از ارسال درخواست برای سرور Steam Web، فیلد مربوطه را حذف می
کند. در نتیجه این حمله از دید نرم افزار امنیتی پنهان می ماند.
در گذشته بدافزار Ramnit تنها برای هدفهای بانکی مورد استفاده قرار
میگرفت اما در حال حاضر مشاهده می شود که هدف حمله این بدافزار موقعیتها،
سازمانها و خدمات غیر بانکی است.