فا

‫ تحليل شبكه بات سرقت اطلاعات بانكي LUUUK

IRCRE201407174

كارشناسان كلاهبرداري بانكي Luuuk را يك حمله Man-in-the-Browser (MITB) عليه يك بانك اروپايي مشخص تحليل كردند. پول سرقت شده به صورت اتوماتيك به حسابهاي از پيش تعيين شده انتقال داده شد. وقتي GReAT (تحليل گر حملات سايبري كسپرسكي)، پانل كنترل Luuuk را دريافت كرد بلافاصله با بانك تماس گرفت و شروع به بررسي موضوع كرد.
بيستم ژانويه 2014 ميلادي، آزمايشگاه كسپرسكي يك سرور مشكوك كه حاوي چندين Log File شامل رويدادهايي از باتها كه به كنترل پنل يك سرور كنترل و فرماندهي گزارش نموده بودند را شناسايي كرد. به نظر مي¬رسيد اطلاعات ارسال شده با يك كلاهبرداري مالي مرتبط باشد، اين اطلاعات شامل اطلاعات جزئي در مورد قرباني ها و مجموع پول دزديده شده بود.

شكل 1 : نمونه Log File
بعد از آناليز بيشتر، فايلهاي بيشتري در سرور ديده شد كه شامل لاگهايي با محتواهاي مختلف بود و بالقوه تراكنش¬هاي كلاهبرداري بانكي و همچنين كد جاوا اسكريپت مرتبط با زيرساخت C2 را نشان مي¬داد. داده¬هاي ارزشمندي درباره بانكي كه هدف قرار گرفته بود و جزئيات ديگري نظير سيستم money-mule (حسابهاي واسطه انتقال پول) و همچنين جزئيات عمليات قابل مشاهده است.

شكل 2 : كد كنترل پنل
با بررسي داده هاي در دسترس، مشخص شد كه C2 بخش سمت سرور از يك ساختار تروجان بانكي است. كلاهبرداري با استفاده از تكنيك Man-in-the-Browser انجام شده است و قادر بوده است تراكنش¬هاي اتوماتيك براي ايجاد حسابهايي براي انتقال پول انجام دهد. به دليل مسير مورد استفاده در پنل مديريتي بات در سرور، C2 به نام Luuuk ناميده شد. موارد زير خلاصه اي از اطلاعات استخراج شده از اجزاي سمت سرور است.
• حدود 190 قرباني، كه اكثر آنها در ايتاليا و تركيه مي¬باشند.
• طبق لاگها تراكنش هاي كلاهبردار بيش از 500.000 يورو ارزش داشتند.
• توصيف چگونگي انتقال پول در اين كلاهبرداري
• شماره حسابهاي بين المللي بانكي قرباني ها و حسابهاي واسط
• پانل كنترل بات در دامنه uvvya-jqwph.eu يا آدرس IP ، 109.169.23.134 قرار دارد.

اين حمله، كاربران يك بانك را هدف قرار داده بود. مجرمين براي به دست آوردن اطلاعات محرمانه هويتي قربانيانشان از طريق injection، از يك تروجان بانكي كه عمليات Man-in-the-Browser را شكل مي دهد استفاده كرده¬اند. بر اساس اطلاعات موجود در برخي لاگ فايلها، بدافزار مذكور نام كاربري، رمز عبور و كدهاي OTP را در زمان واقعي (Real time) ربوده است.

شكل 3 : نمونه لاگ تراكنش كلاهبرداري

بسياري از انواع (Citadel, SpyEye, IceIX,.. ) ZEUS قابليت لازم براي اين حمله را دارند. شواهد كشف شده توسط متخصصين آزمايشگاه كسپرسكي نشان مي دهد كه احتمالاً اين حمله سايبري توسط مجرمان حرفه اي سازمان دهي شده است. بر اساس اطلاعات فايلهاي رمزگشايي شده پيكربندي از سوي Fox-IT InTELL ، سرور Luuuk مرتبط با بدافزار ZeusP2P بوده و آدرس سرور يكسان مي باشد. سرور به منظور هاست نمودن كد تزريق به مرورگر قربانيها همچنين ارسال خودكار مبالغ به واسطه هاي تعريف شده استفاده شده است.


همچنين md5 مورد استفاده در شبكه بات Luuuk به قرار زير بوده كه مرتبط با بدافزار ZeusP2P مي باشد.

c8a3657ea19ec43dcb569772308a6c2f


نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 24 تیر 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها: 0