مجرمان سایبری، با پنهانسازی رفتار مخرب تروجان ادویند با استفاده از دستورات مجاز جاوا، اطلاعات احرازهویت بانکی، برنامههای تجاری و هرگونه گذرواژه ذخیره شده در یک مرورگر کاربران را به سرقت میبرند.
به گزارش ایسنا به نقل از پایگاه اینترنتی زدنت، بدافزار ادویند (Adwind) که با اسامی AlienSpy و jRAT نیز شناخته میشود، میتواند چندین سیستم عامل را هدف قرار دهد و بهطور معمول قربانیان را از طریق ایمیلهای فیشینگ، فایل نصبی مخرب نرمافزارها یا وبسایتهای مخرب، انتخاب و آلوده میکند. نوع جدیدی از این بدافزار اخیرا شناسایی شده است که سیستم عامل ویندوز و برنامههای متداول ویندوز از جمله اینترنت اکسپلورر و اوتلوک را همراه با مرورگرهای مبتنی بر کرومیوم هدف قرار میدهد. جدیدترین نوع ادویند توسط یک فایلJAR منتقل میشود و هدف آن در پشت چندین لایه مبهمسازی و رمزگذاریشده قرار دارد که باعث ناکارآمدی تشخیص مبتنی بر امضا میشود. هنگامی که بدافزار لیست آدرسهای سرور فرمان و کنترل را باز کند، ادویند فعال شده و قادر به دریافت دستورالعملها و ارسال اطلاعات سرقتشده از جمله اطلاعات احرازهویت بانکی، برنامههای تجاری و هرگونه گذرواژه ذخیرهشده در یک مرورگر، به سرور میزبان است.
در آخرین نسخه ادویند، عملکرد بدافزار با استفاده از دستورات جاوا مخفی میشود. فعالیت مخرب ادویند زمانی قابل شناسایی است که اطلاعات بهسرقترفته در حال ارسال به سرور از راه دور هستند. بدافزار طی این فرایند از دستوراتی غیر از جاوا استفاده میکند.
با این حال، در این مرحله آسیب مورد نظر بدافزار به پایان رسیده است.
مجرمین سایبری، گونهای از تروجان ادویند را بیش از پنج سال برای سرقت اطلاعات احرازهویت، ثبت رخدادهای صفحه کلید، ضبط صدا و سایر اطلاعات مربوط به قربانیان استفاده میکردند. کارشناسان معاونت بررسی مرکز مدیریت راهبردی افتای ریاستجمهوری میگویند بررسی ترافیک وب و ایمیل از راهکارهایی است که میتواند برای شناسایی تروجان ادویند و چنین بدافزارهایی به کار رود.
