Breaking

27‏/02‏/2011

تروجان OddJob يستهدف حسابات البنوك الالكترونية

منذ فترة ليست  بالقصيرة انتشر تروجان جديد اسمه OddJob يستهدف حسابات البنوك الالكترونية و يقوم بسرقة المال منها حتى لو قام المستخدم بتسجيل خروجه من الحساب.

ذكر Amit Klein المختص في مجال حماية المتصفحات أن OddJob هو نوع جديد من التروجانات المعقدة و المبرجة بشكل ذكي , حيث أنه يستهدف الحسابات البنكية و يقوم بعمل Session Hijacking لحساب الهدف باستخدام session ID الخاص به. ما يجعل  OddJob مميز و فريد من نوعه هو أنه يوهم المستخدم بأنه تم تسجيل خروجه بنجاح و لكن في الحقيقة أن التروجان يبقي المستخدم متصل  حتى يتم سحب المال بشكل كامل.

OddJob يقوم بهذا عن طريق اعتراض اتصال المستخدم خلال المتصفح سواءا كان Internet Explorer أو fire Fox و تخزين رمز User ID. البنوك الألكتروينة تستخدم هذا الرمز للتعرف على المستخدم المتصل , و من خلال تخزين قيمة هذا الرمز التروجان ستمكن من تنفيذ عدد من العمليات الالكترونية الخطيرة في الحساب بما فيها سحب المال منه.

بعد عمليات الهندسة العكسية على التروجان تبين أن التروجان مبرمج من قبل هاكرز موجودين في أروربا الشرقية لاستهداف مستخدمين موجودين في مناطق مختلفة من العالم كالولايات المتحدة الامريكية و بولندا.

من المثير للاهتمام أن التروجان يبدو أنه مازال تحت التطوير , حيث لاحظ Amit Klein تغير ملحوظ في الدوال المستخدمة في التروجان و طريقة عمله. ففي البداية التروجان كان يبقي session المستخديمين مفتوح فقط بعد تسجيلهم الخروج دون سرقة أي مال من الحساب , و لكن في الاونة الاخيرة بدأ التروجان بسرقة المال من الحسابات المستهدفة. لذلك فلا نعلم كيف سيتغير تصرف التروجان في الايام المقبلة بما أن المبرمج مستمر في تطويره.

كما قلنا سابقا فبدلا من سرقة معلومات تسجيل الدخول , التروجان يقوم بعمل Session Hijacking و الدخول الى الحساب بشكل مباشر.و لتفادي برامج الحماية OddJob لا يقوم بتخزين المعلومات على الجهاز المصاب ولكن يقوم بارسالها بشكل مباشر الى سيرفر الاوامر (C & C server).

Adbox