روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ کسپرسکی به عنوان شرکتی فعال در حوزه امنیت سایبری همواره در حال دست و پنجه نرم کردن با نمونه بدافزارهای شناختهشده و جدید است. ما بعنوان بخشی از خدمات گزارشدهی جرمافزارها به مشتریان خود گزارش فنی در مورد شیوه تکامل خانوادههای جرمافزار از قبل موجود و نوظهور ارائه میدهیم. در این مقاله گزارشات خود را در مورد بدافزاری ارائه کردیم که کمتر از یک سال است فعالیت دارد. نام این سارق GoPIX بوده که به سیستم پرداختی PIX (محبوب در برزیل) حمله کرده است. همینطور قرار است به سارق چندکاربردی به نام Lumar را که در دارکوب تبلیغ میشود و باجافزار Rhysida را که از نسخههای قدیمی ویندوز پشتیبانی میکند بپردازیم. با ما همراه باشید.
GoPIX
سیستم پرداختی PIX در برزیل بیش از هر زمان دیگری محبوب شده است و جای تعجب هم نیست که مجرمان سایبری بخواهند از آب گلآلود ماهی بگیرند و از این محبوبیت به نفع خود استفاده کنند. نمونهاش GoPIX که کمپین بدافزاری است فعال از دسامبر 2022. چرخه حمله زمانی شروع میشود که قربانی احتمالی واتساپ وبی را سرچ میکند. مجرمان سایبری از آگهی تبلیغاتی آلوده استفاده میکنند: لینکهای آلوده در بخش آگهی نتایج سرچ جاگذاری شده و کاربر ابتدا چشمش به همین آگهیهای آلوده میافتد. اگر روی آنها کلیک کند ریدایرکشن در ادامه اتفاق خواهد افتاد و بعد هم کاربر سر و کارش به پیج فرود بدافزاری میافتد. و در ادامه اتفاق جالب دیگری میافتد:
مجرمان سایبری از راهکار پیشگیری از کلاهبرداری –یعنی IP Quality Score- برای تعیین اینکه بازدیدکننده کاربر واقعی است یا ربات استفاده میکنند! اگر همهچیز خوب پیش رفت (البته از نگاه مهاجم) پیج جعلی دانلود واتساپ نمایش داده شده و کاربر برای دانلود این بدافزار فریب داده میشود. باری دیگر بگوییم که نکته جالب اینجاست: بدافزار از دو یوآرال میتواند دانلود شود. اینکه کدام یوآرال استفاده شود به این بستگی دارد که آیا پورت 27275 در ماشین کاربری باز است یا نه. این پورت توسط نرمافزار Avast safe banking استفاده میشود. اگر این نرمافزار شناسایی شود، فایل زیپی حاوی فایل LNK دانلود میشود حاوی اسکریپت مبهمسازیشدهی پاورشل که مرحله بعدی را دانلود میکند. اگر پورت بسته باشد این مرحله اسکیپ شده و مرحله بعد میآید (پکیج نصبگر NSIS). هدف غایی به نظر دور زدن نرمافزار AVAST و حصول اطمینان از این است که بدافزار در سیستم دانلود شده است. بسته نصبگر NSIS حاوی یک سری اسکریپتهای پاورشلی است که تعداد بیشتری از آنها و نیز GoPIX را دانلود میکند. بعد از رمزگشایی پیلودها و اجرای شلکدهای مختلف، دراپر بدافزار در نهایت با استفاده از پروژه sRDI[1] که میتوان آن را در گیتهاب یافت لود میشود. این دراپر بدافزار سپس پروسه svchost را در وضعیتی معلق شروع کرده و GoPIX را بدان تزریق می کند. GoPIX یک سارق معمولی کلیپبورد است که کارش دزدین تراکنشهای PIX است که برای شناسایی درخواستهای پرداختی استفاده میشوند. این سارق سپس جای تراکنشها را با محتوای آلوده که از C2 بازیابی میشوند عوض میکند. این بدافزار همچنین از جایگزینی آدرسهای کیف پول بیتکوین و اتریوم پشتیبانی میکند. با این حال، اینها در بدافزار هاردکد شدند و از C2 بازیابی نمی شوند. GoPIX همچنین میتواند دستورات C2 را دریافت کند، اما این دستورات فقط مربوط به حذف بدافزار از دستگاه میشوند. طبق انتظار، بیشترین آلودگیهای مشاهدهشده در برزیل است.
Lumar
لومار (که نباید با لوما[2]) اشتباه گرفته شود سارقی جدید است که در جوامع زیرزمینی خیلی زود به محبوبیت رسید. در ماه جولای 2023 توسط کاربری به نام Collector تبلیغ شد. این سارق قابلیتهای زیر را دارد:
- ضبط جلسات تلگرام;
- جمعآوری رمزهای عبور، کوکیها، تکمیل خودکار و غیره؛
- بازیابی فایلها از دسکتاپ کاربر؛
- استخراج دادهها از کیف پولهای مختلف ارزهای دیجیتال؛
علیرغم داشتن تمام این قابلیتها، بدافزار از نظر حجم نسبتاً کوچک است (فقط 50 کیلوبایت) که تا حدودی به این دلیل است که به زبان C نوشته شده است. هنگام اجرا، بدافزار توابع را با استفاده از CRC32 حل میکند. سپس زبان OS UI را بررسی میکند و اگر روی زبان مورد استفاده در یک کشور CIS تنظیم شود، پایان مییابد. پس از این، فرآیند جمعآوری اطلاعات اولیه شروع میشود، جایی که اطلاعات مربوط به CPU، حافظه، چیدمان صفحه کلید و غیره به C2 ارسال میشود. در مرحله بعد، Lumar سه رشته مختلف را شروع می کند که هر کدام به دنبال داده های خاصی هستند:
- فایلهای txt، .doc، .jpg، .rdp، .xls، و غیره.
- کوکیهای مرورگر و رمزهای عبور ذخیره شده؛
- فایلهای مرتبط با کیف پولهای رمزنگاری شده
سپس تاریخ جمعآوی، زیپ و به C2 ارسال میشود.
C2 توسط نویسنده بدافزار میزبانی میشود زیرا آنها کل بسته را به عنوان MaaS می فروشند. برای ورود به سیستم، نام کاربری و رمز عبور لازم است. پس از ورود به سیستم، سه تب وجود دارد:
- صفحه اصلی;
- آمار (آمار قربانیان)؛
- گزارشها (اطلاعات استخراجشده، که میتوانند به صورت فایل ZIP دانلود شوند).
علاوه بر این، پنل C2 از دانلود آخرین نسخه راهاندازی لومار و تلگرام پشتیبانی میکند (هر گونه اطلاعات ورودی جدید از طریق تلگرام به خریدار اطلاع داده میشود).
Rhysida
Rhysida باجافزاری نسبتاً جدید است که در ماه می سال جاری (طبق تلهمتری ما) ظهور کرد. این باجافزار همه مشخصههای معمول خانوادههای مدرن باجافزاری را دارد: به عنوان RaaS توزیع شده، سرویس مخفی تور را اجرا کرده، از LibTomCrypt استفاده نموده و کلی موارد دیگر. با این همه یک سری ویژگیهای خاص هم دارد که جا دارد بدانها بپردازیم: اول از همه اینکه بعد از اجرای فرمان پاورشل روی سیستم خودش را پاک می کند.
دوم اینکه هنوز از نسخههای ویندوز قبل از 10 پشتیبانی میکند زیرا فولدر Documents و Settings از پروسه رمزگذاری خارج شده است. سوم اینکه این بدافزار به زبان C++ نوشته شده و به طور پیشفرض با استفاده از MinGW با آرشیوهای مشترک کامپایل شده و این یعنی آرشیوهای مذکور باید موقع اجرا روی سیستم حضور داشته باشند. همانطور که بالاتر اشاره کردیم، Rhysida جدید است: این را از سایت پیاز مانند آن و تعداد قربانیاش متوجه شدیم اما این حقیقت نیز وجود دارد که پیکربندی سرور پیازی آن ابتدا حاوی باگها و دادههای حساس در معرض بود. گروه پشت Rhysida نسبتاً سریع این باگها را برطرف کرد.
جمعبندی
مجرمان سایبری خود را با ترندها وقف می دهند و هر از گاهی البته دست به توسعه بدافزارهای جدید میزنند. با رشد اپها و سرویسهای جدید مانند سیستم پرداختی PIX، نویسندگان جرمافزارها نیز اسامی جدیدی به فهرست تارگتهای خود اضافه میکنند و اینگونه است که خانوادههایی چون سارق GoPIX متولد میشوند. بدافزارهای نوظهور اغلب در دارکوب تبلیغ میشوند و تبلیغکنندگانشان هم مجرمان آماتور هستند. این بدافزارها در قالب MaaS توزیع میشوند و این به نویسندگان اجازه میدهد تا خیلی سریع پولدار شوند و بارها و بارها سازمانهای قانونی را به خطر بیاندازند. برای کنترل این تهدیدهای همیشه در حال ظهور کسب وکارها باید دائماً چشمانداز تهدید را زیر نظر قرار دهند.
[1] Shellcode Reflective DLL Injection
[2] LUMMA
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
