روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ کسپرسکی به عنوان شرکتی فعال در حوزه امنیت سایبری همواره در حال دست و پنجه نرم کردن با نمونه بدافزارهای شناخته‌شده و جدید است. ما بعنوان بخشی از خدمات گزارش‌دهی جرم‌‌افزارها به مشتریان خود گزارش فنی در مورد شیوه تکامل خانواده‌های جرم‌افزار از قبل موجود و نوظهور ارائه می‌دهیم. در این مقاله گزارشات خود را در مورد بدافزاری ارائه کردیم که کمتر از یک سال است فعالیت دارد. نام این سارق GoPIX بوده که به سیستم پرداختی  PIX (محبوب در برزیل) حمله کرده است. همینطور قرار است به سارق چندکاربردی به نام Lumar را که در دارک‌وب تبلیغ می‌شود و باج‌افزار Rhysida را که از نسخه‌های قدیمی ویندوز پشتیبانی می‌کند بپردازیم. با ما همراه باشید.

GoPIX

سیستم پرداختی PIX در برزیل بیش از هر زمان دیگری محبوب شده است و جای تعجب هم نیست که مجرمان سایبری بخواهند از آب گل‌آلود ماهی بگیرند و از این محبوبیت به نفع خود استفاده کنند. نمونه‌اش GoPIX که کمپین بدافزاری است فعال از دسامبر 2022. چرخه حمله زمانی شروع می‌شود که قربانی احتمالی واتس‌اپ وبی را سرچ می‌کند. مجرمان سایبری از آگهی تبلیغاتی آلوده استفاده می‌کنند: لینک‌های آلوده در بخش آگهی نتایج سرچ جاگذاری شده و کاربر ابتدا چشمش به همین آگهی‌های آلوده می‌افتد. اگر روی آن‌ها کلیک کند ریدایرکشن در ادامه اتفاق خواهد افتاد و بعد هم کاربر سر و کارش به پیج فرود بدافزاری می‌افتد. و در ادامه اتفاق جالب دیگری می‌افتد:

مجرمان سایبری از راهکار پیشگیری از کلاهبرداری –یعنی IP Quality Score- برای تعیین اینکه بازدیدکننده کاربر واقعی است یا ربات استفاده می‌کنند! اگر همه‌چیز خوب پیش رفت (البته از نگاه مهاجم) پیج جعلی دانلود واتس‌اپ نمایش داده شده و کاربر برای دانلود این بدافزار فریب داده می‌شود. باری دیگر بگوییم که نکته جالب اینجاست: بدافزار از دو یوآرال می‌تواند دانلود شود. اینکه کدام یوآرال استفاده شود به این بستگی دارد که آیا پورت 27275 در ماشین کاربری باز است یا نه. این پورت توسط نرم‌افزار Avast safe banking استفاده می‌شود. اگر این نرم‌افزار شناسایی شود، فایل زیپی حاوی فایل LNK دانلود می‌شود حاوی اسکریپت مبهم‌سازی‌شده‌ی پاورشل که مرحله بعدی را دانلود می‌کند. اگر پورت بسته باشد این مرحله اسکیپ شده و مرحله بعد می‌آید (پکیج نصب‌گر NSIS). هدف غایی به نظر دور زدن نرم‌افزار AVAST و حصول اطمینان از این است که بدافزار در سیستم دانلود شده است. بسته نصب‌گر NSIS حاوی یک سری اسکریپت‌های پاورشلی است که تعداد بیشتری از آن‌ها و نیز GoPIX را دانلود می‌کند. بعد از رمزگشایی پی‌لودها و اجرای شل‌کدهای مختلف، دراپر بدافزار در نهایت با استفاده از پروژه sRDI[1] که می‌توان آن را در گیت‌هاب یافت لود می‌شود. این دراپر بدافزار سپس پروسه svchost را در وضعیتی معلق شروع کرده و  GoPIX را بدان تزریق می کند. GoPIX یک سارق معمولی کلیپ‌بورد است که کارش دزدین تراکنش‌های  PIX  است که برای شناسایی درخواست‌های پرداختی استفاده می‌شوند. این سارق سپس جای تراکنش‌ها را با محتوای آلوده که از C2 بازیابی می‌شوند عوض می‌کند. این بدافزار همچنین از جایگزینی آدرس‌های کیف پول بیت‌کوین و اتریوم پشتیبانی می‌کند. با این حال، اینها در بدافزار هاردکد شدند و از C2 بازیابی نمی شوند. GoPIX همچنین می‌تواند دستورات C2 را دریافت کند، اما این دستورات فقط مربوط به حذف بدافزار از دستگاه می‌شوند. طبق انتظار،  بیشترین آلودگی‌های مشاهده‌شده در برزیل است.

Lumar

لومار (که نباید با لوما[2]) اشتباه گرفته شود سارقی جدید است که در جوامع زیرزمینی خیلی زود به محبوبیت رسید. در ماه جولای 2023 توسط کاربری به نام Collector تبلیغ شد. این سارق قابلیت‌های زیر را دارد:

•         ضبط جلسات تلگرام;
•         جمع‌آوری رمزهای عبور، کوکی‌ها، تکمیل خودکار و غیره؛
•         بازیابی فایل‌ها از دسکتاپ کاربر؛
•         استخراج داده‌ها از کیف پول‌های مختلف ارزهای دیجیتال؛

علیرغم داشتن تمام این قابلیت‌ها، بدافزار از نظر حجم نسبتاً کوچک است (فقط 50 کیلوبایت) که تا حدودی به این دلیل است که به زبان C نوشته شده است. هنگام اجرا، بدافزار توابع را با استفاده از CRC32 حل می‌کند. سپس زبان OS UI را بررسی می‌کند و اگر روی زبان مورد استفاده در یک کشور CIS تنظیم شود، پایان می‌یابد. پس از این، فرآیند جمع‌آوری اطلاعات اولیه شروع می‌شود، جایی که اطلاعات مربوط به CPU، حافظه، چیدمان صفحه کلید و غیره به C2 ارسال می‌شود. در مرحله بعد، Lumar سه رشته مختلف را شروع می کند که هر کدام به دنبال داده های خاصی هستند:

•         فایل‌های txt، .doc، .jpg، .rdp، .xls، و غیره.
•         کوکی‌های مرورگر و رمزهای عبور ذخیره شده؛
•         فایل‌های مرتبط با کیف پول‌های رمزنگاری شده

سپس تاریخ جمع‌آوی، زیپ و به C2 ارسال می‌شود.

C2 توسط نویسنده بدافزار میزبانی می‌شود زیرا آنها کل بسته را به عنوان MaaS می فروشند. برای ورود به سیستم، نام کاربری و رمز عبور لازم است. پس از ورود به سیستم، سه تب وجود دارد:

•         صفحه اصلی;
•         آمار (آمار قربانیان)؛
•         گزارش‌ها (اطلاعات استخراج‌شده، که می‌توانند به صورت فایل ZIP دانلود شوند).

علاوه بر این، پنل C2 از دانلود آخرین نسخه راه‌اندازی لومار و تلگرام پشتیبانی می‌کند (هر گونه اطلاعات ورودی جدید از طریق تلگرام به خریدار اطلاع داده می‌شود).

Rhysida

Rhysida باج‌افزاری نسبتاً جدید است که در ماه می سال جاری (طبق تله‌متری ما) ظهور کرد. این باج‌افزار همه مشخصه‌های معمول خانواده‌های مدرن باج‌افزاری را دارد: به عنوان RaaS توزیع شده، سرویس مخفی تور را اجرا کرده، از LibTomCrypt استفاده نموده و کلی موارد دیگر. با این همه یک سری ویژگی‌های خاص هم دارد که جا دارد بدان‌ها بپردازیم: اول از همه اینکه بعد از اجرای فرمان پاورشل روی سیستم خودش را پاک می کند.

دوم اینکه هنوز از نسخه‌های ویندوز قبل از 10 پشتیبانی می‌کند زیرا فولدر  Documents و Settings از پروسه رمزگذاری خارج شده است. سوم اینکه این بدافزار به زبان C++ نوشته شده و به طور پیش‌فرض با استفاده از MinGW با آرشیوهای مشترک کامپایل شده و این یعنی آرشیوهای مذکور باید موقع اجرا روی سیستم حضور داشته باشند. همانطور که بالاتر اشاره کردیم، Rhysida جدید است: این را از سایت پیاز مانند آن و تعداد قربانیاش متوجه شدیم اما این حقیقت نیز وجود دارد که پیکربندی سرور پیازی آن ابتدا حاوی باگ‌ها و داده‌های حساس در معرض بود. گروه پشت Rhysida نسبتاً سریع این باگ‌ها را برطرف کرد.

جمع‌بندی

مجرمان سایبری خود را با ترندها وقف می دهند و هر از گاهی البته دست به توسعه بدافزارهای جدید می‌زنند. با رشد اپ‌ها و سرویس‌های جدید مانند سیستم پرداختی PIX، نویسندگان جرم‌افزارها نیز اسامی جدیدی به فهرست تارگت‌های خود اضافه می‌کنند و اینگونه است که خانواده‌هایی چون سارق GoPIX متولد می‌شوند. بدافزارهای نوظهور اغلب در دارک‌وب تبلیغ می‌شوند و تبلیغ‌کنندگانشان هم مجرمان آماتور هستند. این بدافزارها در قالب MaaS توزیع می‌شوند و این به نویسندگان اجازه می‌دهد تا خیلی سریع پولدار شوند و بارها و بارها سازمان‌های قانونی را به خطر بیاندازند. برای کنترل این تهدیدهای همیشه در حال ظهور کسب وکارها باید دائماً چشم‌انداز تهدید را زیر نظر قرار دهند.

[1] Shellcode Reflective DLL Injection

[2] LUMMA

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.