روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ محققین دریافتند که مهاجمین با هدف کلاهبرداری از کاربران جدید یا ناآگاه کانال ارزهای دیجیتال در پلتفرم پیامرسان تلگرام، کیفپولهای مجازی کاربران تلگرام را با بدافزار Echelon–که در حقیقت یک سارق اطلاعات است- هدف قرار دادهاند. در ادامه با ما همراه شوید تا شما را از چند و چون ماجرا باخبر سازیم. آنها در تحلیلی در روز پنجشنبه گفتند، محققین واحد تجزیه و تحلیل تهدیدات Division Seven درSafeGuard Cyber نمونهای از بدافزار Echelon را که در ماه اکتبر در کانال تلگرامی متمرکز بر ارزهای دیجیتال ارسال شده بود، شناسایی کردند. هدف بدافزار مورد استفاده در این کمپین سرقت اطلاعات محرمانه از چندین پلتفرم پیامرسانی و اشتراک فایل از جمله Discord، Edge، FileZilla، OpenVPN، Outlook و حتی خود تلگرام و همچنین تعدادی کیفپول ارزهای دیجیتال از جمله AtomicWallet، BitcoinCore، ByteCoin، Exodus، Jaxx و Monero است. این کمپین هدف از پیش طراحیشدهای نداشته و بیشتر حملهای رندوم کرده به امید اینکه شاید روزی قربانیای بگیرد. آنچه از این گزارش پیداست، این بدافزار و طریقی که توزیع شده است نشان از این بیفکرانه بودن نقشه آن کمپین دارد. گمان میرود مجرمین فقط خواستهاند برای دستگرمی کاربران نابلد یا تازهواردها را به دام بیاندازند. مهاجمین از هندل Smokes Night برای توزیع بدافزار Echelon روی این کانال استفاده کردند اما هنوز معلوم نیست چقدر تلاششان موفقیتآمیز بوده است. محققین اینطور نوشتهاند، «این پست نمیتواند پاسخی باشد به پیامهای پیرامونی این کانال».
کاربران دیگر هم در این کانال متوجه مورد مشکوکی نشدهاند یا خود را در چنین پیامی دخالت ندادهاند. با این حال این بدان معنا نیست که بدافزار به دستگاههای کاربران نرسیده باشد. محققین اینطور نوشتهاند، «ما ندیدیم کسی به Smokes Night پاسخی بدهد یا از فایل شکایتی داشته باشد؛ هرچند این ثابت نمیکند کاربران این کانال آلوده نشدهاند». اپ پیامرسان تلگرام قطعاً به کانون فعالیت مجرمان سایبری تبدیل شده است؛ کسانی که از محبوبیت و سطح حمله گسترده آن با استفاده از رباتها، اکانتهای مخرب و سایر ابزارها برای توزیع بدافزار در پلتفرم استفاده کردهاند.
تحلیل بدافزار
مهاجمان Echelon را در یک فایل RAR با عنوان present).rar به کانال ارزهای دیجیتال تحویل دادند که شامل سه فایل بود: pass – 123.txt، یک داکیومنت متنی خوشخیم حاوی رمز عبور، DotNetZip.dll یک آرشیو غیرمخرب و مجموعه ابزار برای دستکاری فایلهای ZIP و Present.exe، فایل قابلاجرای مخرب برای سارق اطلاعات (Echelon). این پیلود که در چارچوب دات نت نوشته شده است، شامل چندین ویژگی است که تشخیص یا تجزیه و تحلیل را دشوار میکند، از جمله دو عملکرد ضد اشکالزدایی که در صورت شناسایی اشکال زدا یا سایر ابزارهای تجزیه و تحلیل بدافزار، فرآیند را فوراً خاتمه میدهند، و مبهمسازی با استفاده از ابزار منبع باز ConfuserEx. محققان در نهایت موفق شدند کد را از ابهام خارج کنند و از اعماق، نمونه Echelon را که به کاربران کانال تلگرام تحویل داده شده بود بیرون بکشند. محققان دریافتند که نمونه حاوی تشخیص دامنه است، بدینمعنا که نمونه همچنین سعی خواهد کرد اطلاعات مربوط به هر دامنهای را که قربانی بازدید کرده بدزدد. فهرست کاملی از پلتفرم هایی که نمونه Echelon سعی در هدف قرار دادن آنها داشت در گزارش گنجانده شده است.
به نگارش محققین، از دیگر ویژگیهای این بدافزار میتوان به اثر انگشت کامپیوتری و همچنین امکان گرفتن اسکرینشات از دستگاه قربانی اشاره کرد. آنها گفتند که نمونه Echelon که از کمپین برداشته شده است، اطلاعات محرمانه و سایر دادههای سرقتی و اسکرین شاتها را با استفاده از یک فایل فشرده .ZIP به سرور فرمان و کنترل میفرستد. محققان خاطرنشان کردند که خوشبختانه Windows Defender نمونه فایل قابلاجرای مخرب Present.exe را شناسایی و حذف میکند و بدان برچسب LowFI:HookwowLow# میزند. این میتواند تا حدی هر گونه آسیب احتمالی از Echelon را برای کاربرانی که نرمافزار آنتی ویروس نصب شده دارند کاهش دهد.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
