لان القراصنة في الوقت الحالي اصبحو يستخدمون طرقا متقدمة جداا و يصعب على مضاد الفيروس التعرف عليها .
في الاونة الاخيرة اكتشف باحثون في مجال الأمن المعلوماتي شكلا جديدا و متقدم من انواع البرمجيات الخبيثة و التي تشبه Zeus banking التي تقوم ب سرقة جميع معلومات الحسابات المصرفية .
هاذا الهجوم او الفيروس الجديد جاء تحت اسم تيردوت “Terdot” تم تصميم الفيروس الجديد على اساس اجراء هجمات man-in-the-middle (MitM) attacks لسرقة بينات المتصفح مثل معلومات بطاقة الائتمان المخزنة وبيانات تسجيل الدخول وحقن شفرة html في صفحات الويب التي تمت زيارتها.
اكتشف الباحثون في شركة الأمن المعلوماتي Bitdefender ان فيروسات طروادة المصرفية قد تم تطويرها و اصبحت تتمتع ب قدورات تجسس عالية و كان ابرزها التجسس على المواقع التي تستخدم شهادة SSL و هاذا من اجل الوصول الى حسابات مواقع التواصل الاجتماعي وحسابات البريد الإلكتروني.
و المصيبة الكبرى ان المهاجمين يقومون ب اختراق حسابات المواقع تواصل الاجتماعي ل نشر الفيروس اكثر ف اكثر و يصبح حساب المصاب ينشر روابط ضارة تلقائيا .
و كما قلنا سابقا ف ان هاذا النوع الجديد من الفيروسات اصبح اكثر تطورا و لديه القدورات على التحديث التلقائي و ايضا تحميل برامج ضارة اخرى دون شعور الضحية .
و استهدف فيروس Terdot مواقع مصرفية للعديد من المؤسسات الكندية مثل البنك الملكي والبنك الوطني و, PCFinancial, Desjardins, BMO (Bank of Montreal) and Scotiabank. و العديد من البنوك الاخرى.
سرقة حسابات الفيسبوك و الجيميل و تويتر عبر الفيروس
وفقا لأحدث التحاليل يتمكن فايروس Terdot من استهداف مواقع التواصل الاجتماعي مثل فيسبوك وتويتر وجوجل بلس، ويوتيوب، و خدمات البريد الالكتروني مثل جوجل جوجل، و هوتميل، وياهو.
و المثير للاهتمام ان الفايروس لا يهاجم (vk.com) و هاذا ما يدعو للشك ان المهاجمين من روسيا و لكن لا يوجد دليل واضح لحد الساعة.
كيف يتم نشر فيروس Terdot ?
يقوم فايروس Terdot ب استغلال SunDown Exploit Kit و ايضا عن طريق رسالة وهمية الى الايميل مع ملف PDF وهمي.
إذا تم النقر عليه، فإنه ينفذ كود جافا سكريبت الذي يقوم بتنزيل وتشغيل ملف البرامج الضارة. من أجل التهرب من مكافح الفيروسات ، يستخدم الفايروس سلسلة معقدة من droppers، والحقن، و تنزيل الفايروس واحد تلو الاخر حتى يكتمل .
يوقوم الفايروس ب حقن نفسه في المتصفح و يقوم ب الاتصال ب proxy معين و يقوم ب حقن برامج التجسس على الجهاز ب كل بساطة .
و المثير للغرابة ان فايروس Terdot يتمكن من تخطي TLS عبر توليد شهادة CA لكل موقع يزوره الضحية .
و يتمكن الفايروس من اعتراض الطلبات في المتصفح و التعديل عليها و من هنا يقوم الفايروس ب نشر روابط خبيثة في رسائل الضحية و يقوم الضحية ب ارسال روابط اختراق الى كل الاصدقاء او جهات الاتصال او حتى النشر
