Tal Pavel

Shifu: נוזקה חדשה התוקפת בנקים ביפן

/ב , , /על ידי

ב-31 באוגוסט פורסם על ידי חוקרי אבטחה של IBM דבר קיומה של נוזקה חדשה בשם Shifu, אשר ככל הנראה היתה פעילה החל מאפריל 2015. לדברי החוקרים הנוזקה פגעה ב-14 בנקים ביפן ובפלטפורמות נבחרות של בנקאות מקוונת ברחבי אירופה, אולם לפי שעה רק ביפן נרשמו התקפות פעילות.

Fig12

נוזקה זו נחשבת לסוס טרויאני מתוחכם ביותר לתחום הבנקאות וחלקים ממנה נלקחו מסוסים טרויאניים בנקאיים אחרים ונראה כי השילוב הפנימי הוא תוצר של מפתחים בעלי ידע ונסיון בנוזקות בנקאיות אחרות לכדי שילוב יכולות מנוזקות שונות בכלי זה.

עוד עולה כי הנוזקה מגיעה בתצורה בסיסית, אליה מתווספים רכיבים נוספים משעה שהיא יוצרת קשר עם שרת הפיקוד והשליטה.

על מנת שסוס טרויאני בנקאי שכזה יוגדר כמתקדם, יש צורך כי יהיו לו שורה של מנגנוני זמן אמת לגניבה ויותר מדרך אחת לשליטה בנקודת הקצה שהודבקה, דברים המאפיינים נוזקה זו אשר גונבת קשת רחבה של מידעים בה משתמש הקורבן לצרכי זיהוי באופנים שונים. אלו מאפשרים לתוקפים לעשות שימוש בפרטי הגישה החסויים של הקורבן על מנת להשתלט על חשבונותיו הבנקאיים בקרב ספקי שירות שונים.

אולם לצד רצונם של התוקפים לבצע הונאות על חשבונות הבנק של הקורבנות, מטרתם גם כרטיסי אשראי שונים, זאת באמצעות סריקה למציאת עמדות מכירה (POS). במידה והנוזקה איתרה אחת שכזו, היא אוספת את פרטי כרטיסי האשראי שבה.

כמו כן היא מחפשת אחר חתימות דיגיטליות המופקות על ידי רשויות רלבנטיות עבור משתמשים בנקאיים במיוחד באיטליה, כדי לבצע הונאות בנקאיות המבוססות חתימות דיגיטליות תקפות. לצד נסיון לתקוף אפליקציות בנקאיות מאשר אתרים ספציפיים, כך הופכת התקיפה לכללית יותר ומתאימה למטרות רבות יותר.

עם זאת נמסר כי לעיתים הוחלף בשלמותו עמוד הבית של הבנק על ידי הנוזקה, זאת לשם איסוף הנתונים של המשתמשים לשם שימוש בהם מאוחר יותר.

אולם נראה כי למתכנני הנוזקה אין כוונה לשתף אחרים מחוץ לכנופיה בשללם, ניתוחה העלה כי עם התקנתה מופעלת מעין תוכנת אנטי וירוס המונעת התקנת כל נוזקה אחרת באמצעות עצירת התקנה של כל קובץ חשוד. נטען כי זו הפעם הראשונה שמתגלה נוזקה אשר לה כללים לטיפול בקבצים חשודים, על מנת לשמור את נקודת הקצה בשליטה הבלעדית של התוקפים מרגע ההדבקה.

לעניין מקור הנוזקה, מצאו בה החוקרים הערות בשפה הרוסית, כך שמפתחיה הם או דוברי רוסית או תושבי המדינות של ברה"מ לשעבר, אולם באותה המידה יתכן והדבר נועד לערפל את המקור האמיתי של המפתחים.