روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ سارق اطلاعات محرمانه که چند سال پیش به محبوبیت رسیده بود اکنون با روش فرماندهی و کنترل (C2) به سرویس تلگرام رخنه کرده است. عده‌ای از مجرمان سایبری با ابزارهای توزیع خلاقانه خود دارند حتی این سطح حمله را وسیع‌تر نیز می‌کنند. در ادامه با ما همراه شوید تا به ویژگی‌های این سارق داده که Raccoon Stealer نام دارد بیشتر بپردازیم.

Raccoon Stealer که ابتدا آوریل 2019 وارد میدان شد ذخیره و آپدیت آدرس‌های C2 خود را روی زیرساخت تلگرام به ویژگی‌های دیگر خود اضافه کرده است. این بدان اجازه می‌دهد مرکز فرمان قابل‌اطمینان و راحتی روی این پلت‌فرم داشته باشند که به محض اراده آپدیت می‌شود. این بدافزار که گفته می‌شود توسط افرادی روس ساخته و مدیریت می‌شود در واقع ماهیت سرقت اطلاعات دارد اما دامنه فعالیت شرورانه‌اش از اینها فراتر می‌رود. Raccoon Stealer نه تنها پسوردها را سرقت می‌کند بلکه همچنین سارق کوکی‌ها، لاگین‌های ذخیره‌شده، داده‌های مرورگرها، اطلاعات محرمانه ایمیل و مسنجرها، فایل‌های کیف‌پول‌های دیجیتال، داده‌های پلاگین‌های مرورگر و افزونه و فایل‌های دلخواه (مبتنی بر C2) نیز هست.

محقق ولادیمیر مارتیانف از لابراتوار Avast Threat چنین می‌گوید، «این بدافزار می‌تواند با فرمان C2 خود دست به دانلود و اجرای فایل‌های دلخواه بزند. این با توسعه و ترویج روی تالارهای زیرزمینی نیز ترکیب می‌شود و از این روست که می‌گوییم Raccoon Stealer  شایع و خطرناک شده است». مجرمان سایبری از زمان انتشار آن در سال 2019 به سرعت این بدافزار را در حملات خود استفاده کردند زیرا مدل [1]MaaS کاربرپسندی دارد و پول درآوردن را برای آن‌ها آسان کرده است.

توزیع خلاقانه

اوایل، مهاجمین Raccoon Stealer  را از طریق یک فایل .IMG که اکانت دراپ‌باکس (کنترل‌شده از سوی هکر) میزبانی‌اش را می‌کرد برای کمپین‌های BEC[2] ارسال می‌کردند. این کمپین‌ها کارشان هدف قرار دادن مؤسسات مالی و سایر سازمان‌ها بود. همین اواخر محققین لابراتوار Avast Threat تعدادی از روش‌های جدید و خلاقانه توزیع این بدافزار را بررسی کرده‌اند. به ازای هر قوه تخیل مجرمان سایبری برای این بدافزار راه توزیع وجود دارد! علاوه بر اینکه می‌تواند توسط دو لودر Buer Loader  و GCleaner  توزیع شود، مهاجمین همچنین دارند آن را از طریق گیم‌های جعلی، پچ برای نرم‌افزارهای کرک‌شده مانند هک‌ها و مدهای فورتنایت و سایر نرم‌افزارها توزیع می‌کنند. آن‌ها سعی دارند با پک کردن سارق اطلاعات محرمانه خود با کمک  Themida یا پکرهای بدافزار راهکارهای شناسایی را دور بزنند.

سوءاستفاده از C2 در تلگرام

جدیدترین نسخه‌ی Raccoon Stealer با C2 داخل تلگرام سر و کار دارد: 4 ارزش حیاتی برای ارتباط C2 آن وجود دارد دارد که در نمونه Raccoon Stealer هاردکد شده‌اند:

• MAIN_KEY که در طول یک سال 4 بار عوض شده است.
• یوآرال‌های گیت‌های تلگرام با نام کانال.
• BotID، یک رشته هگزادسیمال که هر بار به C2 ارسال می‌شود.
• TELEGRAM_KEY کلیدی برای رمزگشایی آدرس  C2  که از گیت تلگرام بدست آمده.

این بدافزار برای ربودن تلگرام برای C2 خد، ابتدا MAIN_KEY را رمزگشایی می‌کند که از آن برای رمزگشایی آدرس‌های اینترنتی دروازه‌های تلگرام و BotID استفاده می‌شود. مارتیانف نوشت، این سارق سپس از گیت تلگرام برای رسیدن به C2 واقعی خود با استفاده از یک رشته پرس و جو استفاده می‌کند که در نهایت به او اجازه می‌دهد از زیرساخت تلگرام برای ذخیره و به روز رسانی آدرس های واقعی C2 استفاده کند. با دانلود و اجرای فایل‌های دلخواه از یک دستور از C2، سارق همچنین قادر به توزیع بدافزار خواد بود. Avast Threat Labs حدود 185 فایل را با حجم کل 265 مگابایت - از جمله دانلود کننده‌ها، دزدهای رمزنگاری کلیپ بورد و باج‌افزار WhiteBlackCrypt - که توسط Raccoon Stealer توزیع می‌شد، جمع آوری کرد.

ماهیت این بدافزار

پس از اجرا، Racoon Stealer شروع به بررسی تنظیمات محلی کاربر پیش‌فرض روی دستگاه آلوده می‌کند و اگر یکی از موارد زیر باشد، کار نمی‌کند: روسی، اوکراینی، بلاروسی، قزاقستانی، قرقیزستانی، ارمنی، تاجیکی یا ازبکی. محققین معتقدند این احتمالاً به این دلیل است که خود توسعه دهندگان روسی باشند.  با این حال، Avast Threat Labs به این مسئله پی برده است که در فعالیت‌های اخیر، «کشوری که ما بیشترین تلاش‌ها را در آن مسدود کرده‌ایم روسیه است، که جالب است زیرا بازیگران پشت پرده بدافزار نمی‌خواهند رایانه‌های روسیه یا آسیای مرکزی را آلوده کنند». این لابراتوار در ادامه می‌گوید، «حملات در حال توزیع سراسری است». این بدافزار تا زمانی که واقعاً به دستگاهی نرسد مکان کاربر را بررسی نمی‌کند. اگر متوجه شود که دستگاه در منطقه‌ای قرار دارد که توسعه دهندگان نمی خواهند آن را هدف قرار دهند، اجرا نمی‌شود. به نقل از لابراتوار، «برای همین است که تلاش‌های زیادی برای حمله در روسیه شناسایی کرده‌ایم. قبل از اینکه بدافزار اجرا شود، یعنی قبل از اینکه حتی به مرحله‌ای برسد که محلی بودن دستگاه را بررسی کند، آن را مسدود می‌کنیم. اگر دستگاه محافظت‌نشده‌ای که با بدافزار مواجه ‌شود که زبان آن روی انگلیسی یا هر زبان دیگری که در لیست استثنا نباشد اما در روسیه  تنظیم شده باشد، همچنان آلوده می‌شود».

[1] MaaS

[2]دستکاری ایمیل سازمانی

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.