هشدار به کاربران صرافی نوبیتکس، آبان‌تتر و رمزینکس
calendar12:26 1400/10/22
eye1240
spotشرکت بیت‌بان

هشدار به کاربران صرافی نوبیتکس، آبان‌تتر و رمزینکس

به تازگی ۳ بدافزار با نام ۳ صرافی معروف ارزهای دیجیتال منتشر شده است که هدف آن‌ها سرقت اطلاعات ورود به حساب کاربری و دسترسی به ارزهای موجود در حساب‌های قربانیان است. این سه برنامه نام بسته مشترک و عملکرد یکسانی دارند و تنها بسته به نوع صرافی، با دامنه و سرور متفاوتی در ارتباط هستند.

 

لینک تحلیل سه بدافزار در آزمایشگاه بیت‌بان

تحلیل بدافزار نوبیتکس

تحلیل بدافزار رمزینکس

تحلیل بدافزار آبان‌تتر

 

اطلاعات بدافزارها

نام بسته: ir.a.testfirebase 

نام برنامه امضای برنامه لینک سرور لینک ورود آیکون
نوبیتکس a594384630a4d9d238e07c76867edffa671c4675cbc9ed80c3ab614c2625480e lightzer0.xyz/Nobitex/ https://bitpin.cf//Login.php
رمزینکس b18bcac068e5827a139c590d44e093299bcedd852e9a64c17e8cfb7499261793 mytestprojects.xyz/Ramzinex/ http://ramzinex.ga/Login.php?deviceid=
آبان تتر 3b4ee231d2243237003331abf7d1c6686901d95e30cd58022129e61a63d8b77a mytestprojects.xyz/AbanTether/  

تحلیل بدافزار نوبیتکس


-پس از اجرای برنامه، اطلاعات دستگاه را به سرور lightzer0.xyz/Nobitex/RegisterDevice.php ارسال کرده و درواقع دستگاه ثبت می‌شود. پس از تایید کدی به دستگاه تعلق گرفته و از آن به بعد برنامه با این شناسه با سرور در ارتباط خواهد بود.

-برنامه برای دریافت لینک جعلی مربوط به ورود به سایت نوبیتکس، با لینک lightzer0.xyz/Nobitex/GetLink.php ارتباط برقرار کرده و لینک https:\/\/bitpin.cf\/Login.php را دریافت می‌کند.

-در این مرحله برنامه به لینک جعلی متصل شده و از کاربر اطلاعات ورود به صرافی را درخواست می‌کند.

-این صفحه کاملا شبیه به صفحه اصلی این صرافی ست با این تفاوت که برخی از گزینه‌ها در این صفحه جعلی قابل استفاده نیست.

 

-پس از وارد کردن ایمیل و گذرواژه مربوط به حساب nobitex برنامه درخواست کد شناسایی دوعاملی می‌کند. همچنین اطلاعات را بدون رمزگذاری به سرور خود ارسال می‌کند.

-این اقدام برای رهگیری اطلاعات ورود به حساب و در ادامه سرقت رمزارزهای موجود در حساب صرافی نوبیتکس انجام می‌شود.
-این برنامه پیامک‌های دریافتی را به لینک lightzer0.xyz/Nobitex/UploadSms.php ارسال می‌کند.

تحلیل بدافزار رمزینکس


این روند در مورد برنامه رمزینکس هم وجود دارد.
پس از اجرای برنامه ابتدا اطلاعات دستگاه به سرور با آدرس mytestprojects.xyz/Ramzinex/RegisterDevice.php  ارسال و برای دستگاه شناسه‌ای ثبت می‌شود.

-برنامه برای دریافت لینک جعلی مربوط به ورود به سایت رمزینکس، با لینک mytestprojects.xyz /Ramzinex/GetLink.php ارتباط برقرار کرده و لینک https:\/\/ramzinex.ga\/Login.php را دریافت می‌کند.

-در این مرحله برنامه به لینک جعلی متصل شده و از کاربر اطلاعات ورود به صرافی را درخواست می‌کند.

-این برنامه پیامک‌های دریافتی را به لینک mytestprojects.xyz /Ramzinex/UploadSms.php ارسال می‌کند.

#تحلیل  #اندروید  #رمزارز  #بدافزار  

اشتراک گذاری
پربازدیدترین‌ها