سارقی به نام GoPIX

09 آبان 1402 سارقی به نام GoPIX

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ کسپرسکی به عنوان شرکتی فعال در حوزه امنیت سایبری همواره در حال دست و پنجه نرم کردن با نمونه بدافزارهای شناخته‌شده و جدید است. ما بعنوان بخشی از خدمات گزارش‌دهی جرم‌‌افزارها به مشتریان خود گزارش فنی در مورد شیوه تکامل خانواده‌های جرم‌افزار از قبل موجود و نوظهور ارائه می‌دهیم. در این مقاله گزارشات خود را در مورد بدافزاری ارائه کردیم که کمتر از یک سال است فعالیت دارد. نام این سارق GoPIX بوده که به سیستم پرداختی  PIX (محبوب در برزیل) حمله کرده است. همینطور قرار است به سارق چندکاربردی به نام Lumar را که در دارک‌وب تبلیغ می‌شود و باج‌افزار Rhysida را که از نسخه‌های قدیمی ویندوز پشتیبانی می‌کند بپردازیم. با ما همراه باشید.

GoPIX

سیستم پرداختی PIX در برزیل بیش از هر زمان دیگری محبوب شده است و جای تعجب هم نیست که مجرمان سایبری بخواهند از آب گل‌آلود ماهی بگیرند و از این محبوبیت به نفع خود استفاده کنند. نمونه‌اش GoPIX که کمپین بدافزاری است فعال از دسامبر 2022. چرخه حمله زمانی شروع می‌شود که قربانی احتمالی واتس‌اپ وبی را سرچ می‌کند. مجرمان سایبری از آگهی تبلیغاتی آلوده استفاده می‌کنند: لینک‌های آلوده در بخش آگهی نتایج سرچ جاگذاری شده و کاربر ابتدا چشمش به همین آگهی‌های آلوده می‌افتد. اگر روی آن‌ها کلیک کند ریدایرکشن در ادامه اتفاق خواهد افتاد و بعد هم کاربر سر و کارش به پیج فرود بدافزاری می‌افتد. و در ادامه اتفاق جالب دیگری می‌افتد:

مجرمان سایبری از راهکار پیشگیری از کلاهبرداری –یعنی IP Quality Score- برای تعیین اینکه بازدیدکننده کاربر واقعی است یا ربات استفاده می‌کنند! اگر همه‌چیز خوب پیش رفت (البته از نگاه مهاجم) پیج جعلی دانلود واتس‌اپ نمایش داده شده و کاربر برای دانلود این بدافزار فریب داده می‌شود. باری دیگر بگوییم که نکته جالب اینجاست: بدافزار از دو یوآرال می‌تواند دانلود شود. اینکه کدام یوآرال استفاده شود به این بستگی دارد که آیا پورت 27275 در ماشین کاربری باز است یا نه. این پورت توسط نرم‌افزار Avast safe banking استفاده می‌شود. اگر این نرم‌افزار شناسایی شود، فایل زیپی حاوی فایل LNK دانلود می‌شود حاوی اسکریپت مبهم‌سازی‌شده‌ی پاورشل که مرحله بعدی را دانلود می‌کند. اگر پورت بسته باشد این مرحله اسکیپ شده و مرحله بعد می‌آید (پکیج نصب‌گر NSIS). هدف غایی به نظر دور زدن نرم‌افزار AVAST و حصول اطمینان از این است که بدافزار در سیستم دانلود شده است. بسته نصب‌گر NSIS حاوی یک سری اسکریپت‌های پاورشلی است که تعداد بیشتری از آن‌ها و نیز GoPIX را دانلود می‌کند. بعد از رمزگشایی پی‌لودها و اجرای شل‌کدهای مختلف، دراپر بدافزار در نهایت با استفاده از پروژه sRDI[1] که می‌توان آن را در گیت‌هاب یافت لود می‌شود. این دراپر بدافزار سپس پروسه svchost را در وضعیتی معلق شروع کرده و  GoPIX را بدان تزریق می کند. GoPIX یک سارق معمولی کلیپ‌بورد است که کارش دزدین تراکنش‌های  PIX  است که برای شناسایی درخواست‌های پرداختی استفاده می‌شوند. این سارق سپس جای تراکنش‌ها را با محتوای آلوده که از C2 بازیابی می‌شوند عوض می‌کند. این بدافزار همچنین از جایگزینی آدرس‌های کیف پول بیت‌کوین و اتریوم پشتیبانی می‌کند. با این حال، اینها در بدافزار هاردکد شدند و از C2 بازیابی نمی شوند. GoPIX همچنین می‌تواند دستورات C2 را دریافت کند، اما این دستورات فقط مربوط به حذف بدافزار از دستگاه می‌شوند. طبق انتظار،  بیشترین آلودگی‌های مشاهده‌شده در برزیل است.

Lumar

لومار (که نباید با لوما[2]) اشتباه گرفته شود سارقی جدید است که در جوامع زیرزمینی خیلی زود به محبوبیت رسید. در ماه جولای 2023 توسط کاربری به نام Collector تبلیغ شد. این سارق قابلیت‌های زیر را دارد:

  •         ضبط جلسات تلگرام;
  •         جمع‌آوری رمزهای عبور، کوکی‌ها، تکمیل خودکار و غیره؛
  •         بازیابی فایل‌ها از دسکتاپ کاربر؛
  •         استخراج داده‌ها از کیف پول‌های مختلف ارزهای دیجیتال؛

علیرغم داشتن تمام این قابلیت‌ها، بدافزار از نظر حجم نسبتاً کوچک است (فقط 50 کیلوبایت) که تا حدودی به این دلیل است که به زبان C نوشته شده است. هنگام اجرا، بدافزار توابع را با استفاده از CRC32 حل می‌کند. سپس زبان OS UI را بررسی می‌کند و اگر روی زبان مورد استفاده در یک کشور CIS تنظیم شود، پایان می‌یابد. پس از این، فرآیند جمع‌آوری اطلاعات اولیه شروع می‌شود، جایی که اطلاعات مربوط به CPU، حافظه، چیدمان صفحه کلید و غیره به C2 ارسال می‌شود. در مرحله بعد، Lumar سه رشته مختلف را شروع می کند که هر کدام به دنبال داده های خاصی هستند:

  •         فایل‌های txt، .doc، .jpg، .rdp، .xls، و غیره.
  •         کوکی‌های مرورگر و رمزهای عبور ذخیره شده؛
  •         فایل‌های مرتبط با کیف پول‌های رمزنگاری شده

سپس تاریخ جمع‌آوی، زیپ و به C2 ارسال می‌شود.

C2 توسط نویسنده بدافزار میزبانی می‌شود زیرا آنها کل بسته را به عنوان MaaS می فروشند. برای ورود به سیستم، نام کاربری و رمز عبور لازم است. پس از ورود به سیستم، سه تب وجود دارد:

  •         صفحه اصلی;
  •         آمار (آمار قربانیان)؛
  •         گزارش‌ها (اطلاعات استخراج‌شده، که می‌توانند به صورت فایل ZIP دانلود شوند).

علاوه بر این، پنل C2 از دانلود آخرین نسخه راه‌اندازی لومار و تلگرام پشتیبانی می‌کند (هر گونه اطلاعات ورودی جدید از طریق تلگرام به خریدار اطلاع داده می‌شود).

Rhysida

Rhysida باج‌افزاری نسبتاً جدید است که در ماه می سال جاری (طبق تله‌متری ما) ظهور کرد. این باج‌افزار همه مشخصه‌های معمول خانواده‌های مدرن باج‌افزاری را دارد: به عنوان RaaS توزیع شده، سرویس مخفی تور را اجرا کرده، از LibTomCrypt استفاده نموده و کلی موارد دیگر. با این همه یک سری ویژگی‌های خاص هم دارد که جا دارد بدان‌ها بپردازیم: اول از همه اینکه بعد از اجرای فرمان پاورشل روی سیستم خودش را پاک می کند.

دوم اینکه هنوز از نسخه‌های ویندوز قبل از 10 پشتیبانی می‌کند زیرا فولدر  Documents و Settings از پروسه رمزگذاری خارج شده است. سوم اینکه این بدافزار به زبان C++ نوشته شده و به طور پیش‌فرض با استفاده از MinGW با آرشیوهای مشترک کامپایل شده و این یعنی آرشیوهای مذکور باید موقع اجرا روی سیستم حضور داشته باشند. همانطور که بالاتر اشاره کردیم، Rhysida جدید است: این را از سایت پیاز مانند آن و تعداد قربانیاش متوجه شدیم اما این حقیقت نیز وجود دارد که پیکربندی سرور پیازی آن ابتدا حاوی باگ‌ها و داده‌های حساس در معرض بود. گروه پشت Rhysida نسبتاً سریع این باگ‌ها را برطرف کرد.

جمع‌بندی

مجرمان سایبری خود را با ترندها وقف می دهند و هر از گاهی البته دست به توسعه بدافزارهای جدید می‌زنند. با رشد اپ‌ها و سرویس‌های جدید مانند سیستم پرداختی PIX، نویسندگان جرم‌افزارها نیز اسامی جدیدی به فهرست تارگت‌های خود اضافه می‌کنند و اینگونه است که خانواده‌هایی چون سارق GoPIX متولد می‌شوند. بدافزارهای نوظهور اغلب در دارک‌وب تبلیغ می‌شوند و تبلیغ‌کنندگانشان هم مجرمان آماتور هستند. این بدافزارها در قالب MaaS توزیع می‌شوند و این به نویسندگان اجازه می‌دهد تا خیلی سریع پولدار شوند و بارها و بارها سازمان‌های قانونی را به خطر بیاندازند. برای کنترل این تهدیدهای همیشه در حال ظهور کسب وکارها باید دائماً چشم‌انداز تهدید را زیر نظر قرار دهند.

 

[1] Shellcode Reflective DLL Injection

[2] LUMMA

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,028,300 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    10,545,800 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    10,545,800 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    25,326,000 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    70,343,300 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    19,899,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    28,535,300 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    30,525,200 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد