بدافزار جدید بانکداری
باتنت فلوکی (Floki)، نمونه جدیدی از بدافزارهای بانکداری است که اخیراً در بازارهای Dark Net برای فروش گذاشته شده و از طریق پست الکترونیکی گسترش پیدا میکند و برای سرقت اطلاعات کارت های اعتباری قربانیان استفاده میشود.
بدافزار باتنت فلوکی، مبتنی بر کد مبنای مشابهی است که توسط باتنت مشهور زئوس (Zeus) مورد استفاده گرفت، کدی که در سال ۲۰۱۱ منتشر شد. به جای کپی ساده خصوصیاتی که در باتنت زئوس وجود داشتند، بات فلوکی قابلیتهای جدید اضافه کرد که آن را به ابزار جالبی برای مجرمان تبدیل کرد.
به گفته شرکت تلوس (Talos)، اصلاحاتی در مکانیزم ارسال موجود در کد منبع زئوس ایجاد شده است، به طوری که شناسایی بات فلوکی را مشکلتر میکند.
بات فلوکی توسط توسعهدهندگان به قیمت ۱۰۰۰ دلار به فروش میرسد و مبتنی بر باتنت زئوس است. هرچند محققان اخیراً متوجه شدند که بات فلوکی دارای قابلیتهای جدیدی از جمله ضد تشخیص است. شرکت تلوس کد نسخهی جدید بدافزار را نیز مورد بررسی قرار داده و متوجه شده که قابلیتِ عملیات بر روی شبکهی Tor نیز در این بدافزار موجود است ولی هنوز عملکرد فعالی از آن مشاهده نشده است.
محققان شرکت فلشپوینت (flashpoint) معتقدند نام مورد استفاده توسط این بدافزار یک نام برزیلی است. همچنین محققان مشخص کردند که ارتباطات عوامل این بات در پرتغال است و آدرسهای IP و دامنههای برزیلی را هدف قرار دادهاند و در حالت کلی به دستگاههایی که زبان پیشفرض آنها بر روی پرتغالی تنظیم شده است، علاقهمند هستند.
شرکت فلشپوینت عوامل این بات را «اتصالدهنده» (رابط) نامید، زیرا در تعداد زیادی از انجمنهای خارج از برزیل از جمله انجمنهای زیرزمینی Dark Web در روسیه و انگلستان حضور دارند. محققان معتقدند با حضور در وبگاههای خارجی، این مهاجمان دانش و ابزارهای مختلفی را وارد انجمنهای برزیل میکنند.
علاوه بر قابلیتهایی که این بدافزار از باتنت زئوس گرفته است، دارای قابلیت قلاب کردن نیز هست که از این طریق میتواند اطلاعات کارتهای پرداخت را از حافظه به دست آورد. در یک پویش باتنت فلوکی که توسط فلشپوینت مشاهده شده بود، ۲۲۵ بات، اطلاعات نزدیک به ۱۳۷۵ کارت اعتباری را به سرقت بردند. در حوزه جرائم سایبری مالی، پیشرفت ادامهدار بدافزار شناختهشده بات فلوکی مشاهده میشود که توسط فعالی به نام فلوکیبات (flokibot) از سپتامبر ۲۰۱۶ عرضه شده است.
میزان پیشرفت روبات فلوکی
سازندگان بدافزار دائما فناوری خود را جهت دور زدن، شناسایی و کنترلها تطبیق میدهند. این بدافزارهای جدید قبل از انتشار در اینترنت بدون هشدار قبلی قالبا توسط فعالانی ساخته میشود که در اعماق Dark Web فعالیت دارند و شرکتها را مستاصل میکنند.
در حالی که مجرمان سایبری برزیلی معمولا به اندازه همتاهای روسی خود ماهر نیستند، غالبا فرمهای جدید بدافزار (برای در نظر گرفتن باجافزار نقطه فروش (PoS) و تروجانهای بانکداری) را طلب کرده و خدمات خود را پیشنهاد میدهند. به نظر میرسد حضور در انجمنهای روسی اعماق Dark Web میتواند عامل احتمالی در پیشرفت فلوکی باشد.