Image
تروجان TrickBot از زمان ظهورش در اواخر سال 2016 یک تهدید جهانی در حوزه جرائم سایبری به شمار می آید. گنگ سایبری سازماندهی شده ای که TrickBot را بوجود آورده در سراسر دنیا فعالیت دارد. هدف اصلی این گروه بانک ها و موسسات اعتباری مالی است و بیشتر روی بانکداری خصوصی و کسب و کارها تمرکز می کنند.

با بالارفتن ارزش و محبوبیت ارزهای دیجیتال، علاقه این گروه مجرمان سایبری به کسب پول دیجیتال به ساده ترین شکل ممکن یعنی دزدی آن، جلب شد. پلتفرم های ارز دیجیتال انواع مختلفی دارند و هر کدام خدمات متفاوتی را ارائه می دهند، خدماتی مثل معامله ارز دیجیتال، انتقال کوین بین کیف پول های دیجیتال و خرید کوین با کارت اعتباری. طبق تحلیل ها Trickbot  فعالانه در حال هدف قرار دادن پلتفرم هایی ست که کاربران از طریق آنها با کارت های اعتباری، بیت کوین خریداری می کنند.

این حملات  از طریق روش نفوذ به وب اتفاق می افتد، به صورتی که در میانه جریان معامله قانونی بیت کوین از طریق نقل و انتقال با کارت های اعتباری، خرابکاری صورت می گیرد. در یک سناریو پرداخت عادی، کاربرانی که به دنبال خرید کوین هستند، آدرس کیف پول دیجیتال خود را همراه با میزان بیت کوین درخواستی وارد می کنند. بعد از پر کردن فرم اولیه، کاربر به صفحه پرداخت که در دومین دیگری ست هدایت می شود. کاربر اطلاعات شخصی و اطلاعات کارت اعتباری خود را وارد می کند و خرید بیت کوین را تایید می کند.
اینجاست که TrickBot کوین ها را بسرقت می برد. در این روش حمله خاص هم وب سایت معادله بیت کوین و هم وب سایت مربوط به خدمات پرداخت هدف قرار می گیرند و مسیر آنها را به کیف پول دیجیتال حمله کننده تغییر می دهد.

حمله webinjection  یکی از قدیمی ترین و محبوب ترین روش ها در تروجان های بانکی است که این امکان را به بدافزار می دهد تا صفحات اینترنتی که به کاربر نشان داده می شود را تغییر دهد. نویسندگان بدافزارها اینکار را از طریق قرار دادن قلاب در رابط های کاربردی برنامه نویسی درون مرورگر انجام می دهند. این قلاب ها اطلاعات را در میانه راه رهگیری کرده و تغییر می دهند.

بعد از تحقیق روی تاکتیک های حمله TrickBot که به سرقت کوین منجر می شود، می توانیم ببینیم که در حالیکه این روش به مکانیسم های کنونی اتکاء دارد، ولی اجرای آن نیاز به تحقیق گسترده از سایت های هدف، منطق وب و کنترل کننده های امنیتی آنها دارد.