روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ چشم‌انداز جرم‌افزارها متفاوت است. مجرمان سایبری سعی دارند با توزیع انواع مختلف بدافزارها که برای پلت‌فرم‌های مختلف طراحی شدند به هر طریقی روی قربانیان خود سرمایه‌گذاری کنند. در ماه‌های اخیر، گزارشات خصوصی‌ای نوشتیم در مورد طیف وسیعی از موضوعات از جمله باج‌افزارهای جید چند پلت‌فرمی، سارقین مک‌اواس و کمپین‌های توزیع بدافزار. در این مقاله قصد داریم گزیده‌هایی را از گزارشات در مورد کمپین FakeSG، باج‌افزار Akira و سارق  AMOS به اشتراک بگذاریم. با ما همراه باشید.

FakeSG

FakeSG نامی است که ما به کمپین توزیع جدید NetSupport RAT دادیم. این نام به دلیل تقلید از کمپین توزیع بدنام SocGholish انتخاب شد. وب سایت های قانونی آلوده می‌شوند و نوتیفی را نشان می‌دهند مبنی بر اینکه مرورگر کاربر به آپدیت نیاز دارد. با کلیک بر روی نوتیف، فایل مخرب در دستگاه دانلود می‌شود. در طول زمان، مهاجمین URL دانلود را تغییر داده‌اند تا مدت بیشتری شناسایی نشوند. با این حال، به دلایلی مبهم، مسیر ثابت باقی مانده استcdn/wds.min.php). ).

دانلود، یک فایل JS حاوی کد مبهم است. موقع اجرا اسکریپت دیگری را از یک مکان راه دور لود کرده و یک کوکی تنظیم می‌کند. در نهایت، درخواستی برای به روز رسانی مرورگر را نمایش داده و به طور خودکار شروع به دانلود اسکریپت دیگری می‌کند. این بار، این یک اسکریپت دسته‌ای است که یک اسکریپت دسته‌ای دیگر، یک فایل 7z و فایل اجرایی 7z را دانلود می‌کند.

کار اسکریپت دسته دوم ایجاد یک کار برنامه ریزی شده با نام VCC_runner2""، استخراج و کپی کردن بدافزار و غیره از ماندگاری مراقبت می‌کند. بخشی از فایل 7z یک فایل پیکربندی مخرب حاوی آدرس C2 است.

Akira

Akira یک نوع باج افزار نسبتاً جدید است که برای اولین بار در آوریل گذشته شناسایی و به زبان C++ نوشته شد و می‌تواند در محیط‌های ویندوز و لینوکس اجرا شود. علیرغم جدید بودن این بدافزار، مهاجمینِ پشت Akira با بیش از 60 سازمان آلوده تایید شده در سراسر جهان کاملاً مشغول هستند. از نظر اهداف، سازمان‌های بزرگ‌تری را در صنایع مختلف مانند خرده‌فروشی، کالاهای مصرفی، آموزش و غیره انتخاب می‌کنند.

از بسیاری جهات، Akira هیچ تفاوتی با سایر خانواده‌های باج‌افزار ندارد: کپی‌های سایه حذف می‌شوند (با استفاده از ترکیبی از PowerShell و WMI )، درایوهای منطقی رمزگذاری و انواع فایل‌ها و دایرکتوری‌ها حذف می شوند؛ یک سایت نشت / ارتباط در TOR وجود دارد و چیزهایی از این قبیل. چیزی که آن را متمایز می‌کند شباهت‌های خاص با Conti است. به عنوان مثال، لیست پوشه‌های حذف شده از فرآیند رمزگذاری دقیقاً یکسان است. این شامل پوشه winnt" " است که فقط در ویندوز 2000 وجود دارد. شباهت دیگر تابع مبهم‌سازی رشته است.

یکی از مواردی که یک گروه را از دیگری متمایز می‌کند، پنل C2 است. در طول تحقیقات و تلاش مشترک ما با آژانس‌های مجری قانون LEA)  ) در سراسر جهان، ما با انواع مختلفی از پنل‌های C2 مواجه شده‌ایم. با این حال، سایت ارتباطی آکیرا چیزی متفاوت است. این گروه از آرشیو ترمینال JQuery برای توسعه سایت مینیمالیست قدیمی استفاده کرد. به منظور حفاظت از آن، آنها اقدامات امنیتی خاصی را اجرا کردند. به عنوان مثال، اگر هنگام استفاده از دیباگر در مرورگر، وبسایت را باز کنید، یک استثنا ایجاد شده و تجزیه و تحلیل را متوقف می‌کند.

AMOS

محبوبیت سارقین در حال افزایش است. برخی از این سارقین معروف، مانند Redline و Raccoon، سالهاست که در اطراف یافت می‌شوند. موارد دیگر اخیراً ظاهر شدند، همانطور که در برخی از پست های وبلاگ قبلی خود بحث کردیم. در ابتدای سال، شاهد حضور تعدادی دزد جدید برای macOS بودیم: XLoader، MacStealer، Atomic MacOS با نام مستعار AMOS و غیره.

AMOS اولین بار آوریل 2023 کشف شد. در آن زمان از طریق تلگرام به مبلغ 1000 دلار در ماه به مجرمین سایبری اجاره داده شد. نسخه اولیه، که در Go نوشته شده بود، دارای ویژگی‌های دزد معمولی بود، مانند سرقت رمزهای عبور، فایل‌ها، داده‌های مرورگر و غیره. همچنین در تلاش برای به دست آوردن رمز عبور سیستم، نوتیف‌های رمز عبور جعلی ایجاد کرد. نسخه جدید چند چیز از جمله زبان برنامه‌نویسی را تغییر داد. اکنون AMOS به جای Go به زبان C نوشته می‌شود. ما همچنین توانستیم ناقل را تعیین کنیم: تبلیغات مریض. همانند کمپین‌های Redline و Rhadamantys، سایت‌های نرم‌افزاری محبوب شبیه‌سازی و کاربران فریب دانلود بدافزار را می‌خورند.

اولین کاری که بدافزار انجام می‌دهد این است که نام کاربری را بازیابی نموده و بررسی می‌کند که آیا رمز عبور خالی است یا رمز عبور لازم نمی‌شود. اگر رمز عبور لازم باشد و کاربر وارد نشده باشد، بدافزار با استفاده از osascript یک پنجره بازشو ایجاد کرده و از شما می‌خواهد رمز عبور را وارد کنید. پس از تنظیم همه چیز، داده های زیر جمع آوری خواهد شد:

•         پایگاه داده یادداشت‌ها
•         داکیومنت‌های دسکتاپ و اسناد
•         داده‌های مربوط به مرورگر (کوکی‌ها، داده‌های ورود و غیره) از مرورگرهایی مانند Chrome و Edge
•         کیف پول های ارزهای دیجیتال (Binance، Exodus و دیگران)
•         داده های پیام فوری (تلگرام، دیسکورد و غیره)

داده ها با آرشیوminiz" "فشرده شده و از طریق HTTP به C2 ارسال می‌شود. بخشی از درخواست UUID است که خریدار یا کمپین بدافزار را شناسایی می‌کند. از نظر قربانی‌شناسی، ما عفونت‌هایی را در سراسر جهان شناسایی کرده‌ایم که روسیه و برزیل از بین آن‌ها بیش از همه مورد حمله قرار گرفتند.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.