سرقت اطلاعات احراز هویت کاربران با تروجان ادویند

مجرمان سایبری، با پنهان‌سازی رفتار مخرب تروجان ادویند با استفاده از دستورات مجاز جاوا، اطلاعات احرازهویت بانکی، برنامه‌های تجاری و هرگونه گذرواژه ذخیره شده در یک مرورگر کاربران را به سرقت می‌برند.

به گزارش ایسنا به نقل از پایگاه اینترنتی زدنت، بدافزار ادویند (Adwind) که با اسامی AlienSpy و jRAT نیز شناخته می‌شود، می‌تواند چندین سیستم عامل را هدف قرار دهد و به‌طور معمول قربانیان را از طریق ایمیل‌های فیشینگ، فایل نصبی مخرب نرم‌افزارها یا وب‌سایت‌های مخرب، انتخاب و آلوده می‌کند. نوع جدیدی از این بدافزار اخیرا شناسایی شده است که سیستم عامل ویندوز و برنامه‌های متداول ویندوز از جمله اینترنت اکسپلورر و اوت‌لوک را همراه با مرورگرهای مبتنی بر کرومیوم هدف قرار می‌دهد. جدیدترین نوع ادویند توسط یک فایلJAR منتقل می‌شود و هدف آن در پشت چندین لایه مبهم‌سازی و رمزگذاری‌شده قرار دارد که باعث ناکارآمدی تشخیص مبتنی بر امضا می‌شود. هنگامی که بدافزار لیست آدرس‌های سرور فرمان و کنترل را باز کند، ادویند فعال شده و قادر به دریافت دستورالعمل‌ها و ارسال اطلاعات سرقت‌شده از جمله اطلاعات احرازهویت بانکی، برنامه‌های تجاری و هرگونه گذرواژه ذخیره‌شده در یک مرورگر، به سرور میزبان است.

در آخرین نسخه ادویند، عملکرد بدافزار با استفاده از دستورات جاوا مخفی می‌شود.  فعالیت مخرب ادویند زمانی قابل شناسایی است که اطلاعات به‌سرقت‌رفته در حال ارسال به سرور از راه دور هستند. بدافزار طی این فرایند از دستوراتی غیر از جاوا استفاده می‌کند.

 با این حال، در این مرحله آسیب مورد نظر بدافزار به پایان رسیده است.

مجرمین سایبری، گونه‌ای از تروجان ادویند را بیش از پنج سال برای سرقت اطلاعات احرازهویت، ثبت رخدادهای صفحه کلید، ضبط صدا و سایر اطلاعات مربوط به قربانیان استفاده می‌کردند. کارشناسان معاونت بررسی مرکز مدیریت راهبردی افتای ریاست‌جمهوری می‌گویند بررسی ترافیک وب و ایمیل از راه‌کارهایی است که می‌تواند برای شناسایی تروجان ادویند و چنین بدافزارهایی به کار رود.