کد خبر: ۱۴۶۳۰     تاریخ انتشار: ۰۱ مهر ۱۳۹۳ - ۱۱:۳۹
کارشناسان کلاهبرداری بانکی Luuuk را یک حمله Man-in-the-Browser (MITB) علیه یک بانک اروپایی مشخص تحلیل کردند.

پول سرقت شده به صورت اتوماتیک به حسابهای از پیش تعیین شده انتقال داده شد. وقتی GReAT (تحلیل گر حملات سایبری کسپرسکی)، پانل کنترل Luuuk را دریافت کرد بلافاصله با بانک تماس گرفت و شروع به بررسی موضوع کرد. 
بیستم ژانویه 2014 میلادی، آزمایشگاه کسپرسکی یک سرور مشکوک که حاوی چندین Log File شامل رویدادهایی از باتها که به کنترل پنل یک سرور کنترل و فرماندهی گزارش نموده بودند را شناسایی کرد. به نظر می¬رسید اطلاعات ارسال شده با یک کلاهبرداری مالی مرتبط باشد، این اطلاعات شامل اطلاعات جزئی در مورد قربانی ها و مجموع پول دزدیده شده بود. 
 

 بعد از آنالیز بیشتر، فایلهای بیشتری در سرور دیده شد که شامل لاگهایی با محتواهای مختلف بود و بالقوه تراکنش¬های کلاهبرداری بانکی و همچنین کد جاوا اسکریپت مرتبط با زیرساخت C2 را نشان می¬داد. داده¬های ارزشمندی درباره بانکی که هدف قرار گرفته بود و جزئیات دیگری نظیر سیستم money-mule (حسابهای واسطه انتقال پول) و همچنین جزئیات عملیات قابل مشاهده است. 
 

 
شکل 2 : کد کنترل پنل
با بررسی داده های در دسترس، مشخص شد که C2 بخش سمت سرور از یک ساختار تروجان بانکی است. کلاهبرداری با استفاده از تکنیک Man-in-the-Browser انجام شده است و قادر بوده است تراکنش¬های اتوماتیک برای ایجاد حسابهایی برای انتقال پول انجام دهد. به دلیل مسیر مورد استفاده در پنل مدیریتی بات در سرور، C2 به نام Luuuk نامیده شد. موارد زیر خلاصه ای از اطلاعات استخراج شده از اجزای سمت سرور است. 
•    حدود 190 قربانی، که اکثر آنها در ایتالیا و ترکیه می¬باشند.
•    طبق لاگها تراکنش های کلاهبردار بیش از 500.000 یورو ارزش داشتند.    
•    توصیف چگونگی انتقال پول در این کلاهبرداری
•    شماره حسابهای بین المللی بانکی قربانی ها و حسابهای واسط
•    پانل کنترل بات در دامنه uvvya-jqwph.eu یا آدرس IP ، 109.169.23.134 قرار دارد.

این حمله، کاربران یک بانک را هدف قرار داده بود. مجرمین برای به دست آوردن اطلاعات محرمانه هویتی قربانیانشان از طریق injection، از یک تروجان بانکی که عملیات Man-in-the-Browser را شکل می دهد استفاده کرده¬اند. بر اساس اطلاعات موجود در برخی لاگ فایلها، بدافزار مذکور نام کاربری، رمز عبور و کدهای OTP را در زمان واقعی (Real time) ربوده است.
 

 


شکل 3 : نمونه لاگ تراکنش کلاهبرداری

بسیاری از انواع (Citadel, SpyEye, IceIX,.. ) ZEUS قابلیت لازم برای این حمله را دارند. شواهد کشف شده توسط متخصصین آزمایشگاه کسپرسکی نشان می دهد که احتمالاً این حمله سایبری توسط مجرمان حرفه ای سازمان دهی شده است.  بر اساس اطلاعات فایلهای رمزگشایی شده پیکربندی از سوی Fox-IT InTELL ، سرور Luuuk مرتبط با بدافزار ZeusP2P بوده و آدرس سرور یکسان می باشد. سرور به منظور هاست نمودن کد تزریق به مرورگر قربانیها همچنین ارسال خودکار مبالغ به واسطه های تعریف شده استفاده شده است.
 

 

همچنین md5 مورد استفاده در شبکه بات Luuuk به قرار زیر بوده که مرتبط با بدافزار ZeusP2P می باشد.

نظر شما
نام:
ایمیل:
* نظر:
* کد امنیتی:
Chaptcha
حروفي را كه در تصوير مي‌بينيد عينا در فيلد مقابلش وارد كنيد