اکانت توییتر MalwareHunterTeam اطلاع داده که چندی قبل با بدافزاری برخورد کردن که سعی بر دزدیدن رمز پویا کاربران داشته که معمولا از طریق پیام کوتاه به دست کاربر می‌رسه.به گفته MalwareHunterTeam، بدافزاری به نام ir.pardakht سعی داشته تا با دسترسی به پیام کوتاه کاربران، پیام رمز دوم بانک رو شناسایی و اطلاعات آن را برای فرد مهاجم ارسال کند. تیم‌های امنیتی شرکت‌هایی مانند Kaspersky و ESET NOD32 هم این موضوع رو تایید کردن.

 

رمز پویا چیست؟

رمز یک بار مصرف، یا همان One-time Password، گذرواژه‌ای هستش که فقط میشه یک بار از اون استفاده کرد و معمولا هم از طریق پیام کوتاه برای کاربر ارسال میشه. این گذرواژه، کلیدی برای دسترسی به بسیاری از اطلاعات کاربران هستش. همونطور که می‌دونید از رمز پویا در اپلیکیشن‌‌هایی که شامل اطلاعات حساس هستند استفاده میشه. به‌طورمثال نرم‌افزارهایی مانند تلگرام، واتس‌اپ و نرم افزارهای بانکی، جزو این دسته از اپلیکیشن ها محسوب میشن و خب منطقی هم هست که فرد مهاجم بخواد به دنبال دسترسی به رمزپویا کاربر باشه؛ چون با استفاده از اون به راحتی می‌تونه به اطلاعات مهم کاربر دسترسی پیدا کنه.

 

بدافزار ذکر شده به این شکل طراحی شده تا با دسترسی به پیام کوتاه حاوی رمز پویای کاربر، اطلاعات به دست اومده رو برای فرد مهاجم بفرسته تا با استفاده از این اطلاعات، به حساب بانکی کاربر دسترسی پیدا کنه.  اطلاعات به دست اومده از back-end این نرم افزار، نام سه فرد با نام های RezaProg، AmoFarzane و IR_Pishingers رو نشون میده که با استفاده از سرورهای C&C دست به این حمله زده‌اند. 

 

 

سرور C2s چیست؟شاخص اصلی یه همچین بدافزارهایی، سرورهای C2s یا همون Command and Control Servers هستن که در فارسی بهشون سرورهای کنترل و فرمان گفته میشه. این سرورها، کامپیوترهایی هستند که اطلاعات و دستورالعمل های مشخص رو برای دستگاه هایی که آلوده شده‌اند، ارسال می‌کنند.سرورهای استفاده شده در این بدافزار عبارتند از

http[://37.120.146.4

http[://karloskey.ml

https[://pasargaad.xyz

 

 

 

حالا به تازگی اعلام شده که نام اصلی و کاربری این کلاهبرداران کشف شده که با استفاده از سرور خودشون، اطلاعات رو برای یه بات توی تلگرام ارسال می کردن.نام این کاربران و بات تلگرامی عبارتند از:

Dragun_hack

Divan3gan

botaliprge