شناسایی بدافزار سرقت رمز پویا
اکانت توییتر MalwareHunterTeam اطلاع داده که چندی قبل با بدافزاری برخورد کردن که سعی بر دزدیدن رمز پویا کاربران داشته که معمولا از طریق پیام کوتاه به دست کاربر میرسه.به گفته MalwareHunterTeam، بدافزاری به نام ir.pardakht سعی داشته تا با دسترسی به پیام کوتاه کاربران، پیام رمز دوم بانک رو شناسایی و اطلاعات آن را برای فرد مهاجم ارسال کند. تیمهای امنیتی شرکتهایی مانند Kaspersky و ESET NOD32 هم این موضوع رو تایید کردن.
رمز پویا چیست؟
رمز یک بار مصرف، یا همان One-time Password، گذرواژهای هستش که فقط میشه یک بار از اون استفاده کرد و معمولا هم از طریق پیام کوتاه برای کاربر ارسال میشه. این گذرواژه، کلیدی برای دسترسی به بسیاری از اطلاعات کاربران هستش. همونطور که میدونید از رمز پویا در اپلیکیشنهایی که شامل اطلاعات حساس هستند استفاده میشه. بهطورمثال نرمافزارهایی مانند تلگرام، واتساپ و نرم افزارهای بانکی، جزو این دسته از اپلیکیشن ها محسوب میشن و خب منطقی هم هست که فرد مهاجم بخواد به دنبال دسترسی به رمزپویا کاربر باشه؛ چون با استفاده از اون به راحتی میتونه به اطلاعات مهم کاربر دسترسی پیدا کنه.
بدافزار ذکر شده به این شکل طراحی شده تا با دسترسی به پیام کوتاه حاوی رمز پویای کاربر، اطلاعات به دست اومده رو برای فرد مهاجم بفرسته تا با استفاده از این اطلاعات، به حساب بانکی کاربر دسترسی پیدا کنه. اطلاعات به دست اومده از back-end این نرم افزار، نام سه فرد با نام های RezaProg، AmoFarzane و IR_Pishingers رو نشون میده که با استفاده از سرورهای C&C دست به این حمله زدهاند.
سرور C2s چیست؟شاخص اصلی یه همچین بدافزارهایی، سرورهای C2s یا همون Command and Control Servers هستن که در فارسی بهشون سرورهای کنترل و فرمان گفته میشه. این سرورها، کامپیوترهایی هستند که اطلاعات و دستورالعمل های مشخص رو برای دستگاه هایی که آلوده شدهاند، ارسال میکنند.سرورهای استفاده شده در این بدافزار عبارتند از
http[://37.120.146.4
http[://karloskey.ml
https[://pasargaad.xyz
حالا به تازگی اعلام شده که نام اصلی و کاربری این کلاهبرداران کشف شده که با استفاده از سرور خودشون، اطلاعات رو برای یه بات توی تلگرام ارسال می کردن.نام این کاربران و بات تلگرامی عبارتند از:
Dragun_hack
Divan3gan
botaliprge