روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ یک کمپین بدافزاری گسترده در برزیل کشف شده که از طریق واتس‌اپ ، فایل LNK مخرب را پخش و در نهایت تروجانی بانکی به نام «ماوریک» را کاملاً در حافظه بارگذاری می‌کند. هدف اصلی حمله شهروندان برزیل‌ هستند و سرور فرمان‌وکنترل طوری تنظیم شده که فقط به درخواست‌هایی پاسخ دهد که از بدافزار واقعی آمده باشند. با ما همراه باشید تا یافته‌های کلیدی خود را در مورد آن با شما به اشتراک بگذاریم.

یافته‌های کلیدی

•          انتشار از طریق واتس‌اپ با فایل زیپ حاوی میانبر مخرب؛ میانبر روی پلتفرم پیام‌رسان مسدود نمی‌شود.
•          بدافزار با بهره‌گیری از یک پروژه متن‌باز برای خودکارسازی نسخه وبی واتس‌اپ، از حساب‌های به‌دست‌آمده برای ارسال پیام‌های آلوده به مخاطبان قربانی سوءاستفاده می‌کند.
•          تروجان بانکی «Maverick» شباهت‌های کد با تروجان «Coyote» دارد، اما یک تهدید جدید و مستقل است.
•          قبل از نصب کامل، بررسی منطقه زمانی، زبان و فرمت تاریخ/ساعت انجام می‌شود تا مطمئن شوند قربانی در برزیل است.
•          ماوریک توانایی کنترل کامل سیستم را دارد: گرفتن اسکرین‌شات، مونیتور مرورگرها، نصب کی‌لاگر، کنترل ماوس، مسدودسازی صفحه هنگام ورود به سایت بانکی و باز کردن صفحات فیشینگ پوششی.
•          هدف‌گذاری شامل ۲۶ وب‌سایت بانکی، ۶ صرافی رمزارز و یک پلتفرم پرداخت در برزیل است.
•          زنجیره آلودگی ماژولار و کاملاً در حافظه اجرا می‌شود؛ از پاورشل، دات‌نت و شِل‌کد رمزگذاری‌شده استفاده می‌شود.
•          در توسعه برخی بخش‌ها از هوش مصنوعی برای کمک به نوشتن و پردازش کد، به‌ویژه در رمزگشایی گواهی‌ها، بهره برده شده است.
•          تنها در ده روز اول اکتبر، شصت‌دو هزار تلاش آلودگی مربوط به همین میانبر در برزیل مسدود شده است.

ورود اولیه

ورود با اجرای میانبری داخل فایل زیپ آغاز می‌شود. میانبر فرمانی اجرا می‌کند که سرور فرمان را صدا می‌زند تا یک اسکریپت پاورشل دیگر دانلود شود. سرور برای جلوگیری از دانلود توسط ابزارهای معمول، هدر «User Agent» درخواست HTTP را بررسی می‌کند و فقط در صورت ارسال هدر مشخص از پاورشل پاسخ می‌دهد؛ در غیر این صورت کد ۴۰۱ بازمی‌گردد. اسکریپت ورودی یک فایل دات‌نت رمزگذاری‌شده را درون خود دارد؛ آن فایل در حافظه با تقسیم هر بایت بر عدد مشخصی رمزگشایی و سپس به‌صورت اسمبلی دات‌نت بارگذاری می‌شود؛ این درحالیست که هیچ فایلی روی دیسک ذخیره نمی‌شود.

لودر اولیه

لودر دات‌نت اولیه شدیداً مبهم‌سازی شده و کنترل جریان را پیچیده می‌کند. توابع در بورد بزرگی ذخیره و از آنجا فراخوانی می‌شوند. نام متدها و متغیرها نیز تصادفی‌سازی شده است. با وجود این، محققین توانسته‌اند جریان اصلی را بازسازی کنند: دانلود و رمزگشایی دو payload. برای ارتباط با سرور، بدافزار کلید API را با ساختار پایه۶۴ از امضای HMAC256 تولید می‌کند تا فقط درخواست‌های معتبر پاسخ بگیرند. پاسخ سرور شِل‌کدی بسته‌شده با ابزار دونات است که شامل یک اجرایی دات‌نت رمزگذاری‌شده می‌شود. شِل‌کدها با استفاده از XOR رمزگذاری شده‌اند؛ کلید رمز در انتهای باینری قرار دارد و الگوریتم رمزگشایی شامل خواندن طول کلید از چهار بایت آخر، یافتن کلید و اعمال XOR روی کل فایل است.

دانلودر واتس‌اپ

دومین شِل‌کد پس از اجرا، دانلودری را بارگذاری می‌کند که این بار یک فایل اجرایی دات‌نت را به‌عنوان ماژول در حافظه قرار می‌دهد. این ماژول، که فضای نامی آن به مرحلهٔ اول اشاره دارد، مخصوص دانلود آلوده‌کنندهٔ واتس‌اپ  است. آلوده‌کننده شامل قطعه‌ای از پروژهٔ متن‌باز خودکارسازی واتس‌اپ  وب و نسخه‌ای از ابزار خودکارسازی مرورگر است. نام‌گذاری داخلی به «زپ[1]» اشاره دارد که در برزیل مرسوم است. رفتار اصلی یافتن پنجره واتس‌اپ  در مرورگر و استفاده از ابزار خودکارسازی برای ارسال پیام‌های مخرب از حساب قربانی به مخاطبین اوست.

تروجان بانکی ماوریک

شاخه‌ای از حمله منجر به فعال‌شدن تروجانی بانکی به نام «ماوریک» می‌شود. برای ایجاد پایداری، تروجان ابتدا تلاش می‌کند در پوشه راه‌اندازی کاربر یک فایل دسته‌ای قرار دهد. در صورتی که چنین فایلی موجود نباشد، تروجان یک شناسه‌ی یکتا تولید و فایلی با نامی مانند HealthApp-‹شناسه›.bat در پوشه راه‌اندازی می‌سازد. آن فایل فرمانی را اجرا می‌کند که اسکریپت پاورشل را از یک آدرس سخت‌کد دانلود می‌کند؛ محتوای اسکریپت به‌صورت base64و با بلوک‌های تصادفی رمزنگاری شده تا مخفی باقی بماند. بدین ترتیب تنها یک بوت‌استرپ کوچک روی دیسک می‌ماند و بیشتر عملیات در حافظه اجرا می‌شود.

پس از فعال‌سازی، ماوریک مرورگرها را تحت نظر قرار می‌دهد و با خواندن عنوان تب فعال تشخیص می‌دهد کاربر در چه سایتی است. مرورگرهای هدف شامل کروم، فایرفاکس، اج، بریو، اینترنت اکسپلورر و برخی مرورگرهای بانکی مشخص هستند. فهرست سایت‌های هدف ابتدا فشرده (gzip)، سپس با AES-256 رمزنگاری و در نهایت به base64 تبدیل شده است؛ ساختار فایل رمزگذاری‌شده به‌گونه‌ای است که مقداردهی اولیه (IV) در ۱۶ بایت اول قرار دارد، کلید در ۳۲ بایت بعد و دادهٔ رمزشده از آفست ۴۸ آغاز می‌شود. در صورت شناسایی صفحه‌ای از فهرست اهداف، تروجان یک فایل اجرایی دیگر را رمزگشایی کرده و آن را به‌صورت اسمبلی بارگذاری می‌کند؛ این ماژولِ بارگذاری‌شده همان «عامل ماوریک» است که وظیفه عملیات بانکی را برعهده دارد.

عامل ماوریک

عامل، بخش اعظم عملیات بانکی را انجام می‌دهد. نخست بررسی می‌کند که سیستم واقعاً در برزیل باشد، سپس تنظیمات مربوط به پشتیبانی DPI و مقیاس‌پذیری نمایش را فعال می‌کند تا روی چند مانیتور و رزولوشن مختلف تصاویر و لایه‌ها درست کار کنند. عامل فایل‌های پایداری موجود را بررسی و اگر چند نسخه پیدا شد، قدیمی‌ترها را حذف و جدیدترین را نگه می‌دارد.

ارتباط با مرکز فرمان

ارتباط عامل با مرکز فرمان از طریق تونل امن انجام می‌شود. برای محافظت از کانال ارتباطی از یک گواهی X509 محلی رمزنگاری‌شده استفاده می‌شود؛ رمز عبور گواهی در برنامه قرار دارد و پس از بازشدن گواهی، کانال برقرار می‌شود. در اولین اتصال عامل باید رمز عبور خاصی به سرور بفرستد تا احراز هویت شود؛ پس از آن آماده‌ی دریافت دستورات اپراتور می‌شود.

قابلیت‌های مخرب

ماوریک می‌تواند کارهای زیر را انجام دهد:

•          گرفتن اسکرین‌شات و ضبط صفحه
•          مانیتور و استخراج عنوان تب‌ها و صفحات باز در مرورگر
•          نصب کی‌لاگر برای ضبط ورودی صفحه‌کلید
•          کنترل ماوس و شبیه‌سازی کلیک‌ها
•          خاتمه دادن فرآیندهای مشخص
•          باز کردن صفحات فیشینگ لایه‌ای روی سایت بانکی برای سرقت اطلاعات
  تمامی این رفتارها به‌صورت ماژولار و عمدتاً در حافظه اجرا می‌شوند تا ردپا روی دیسک کم باشد.

شباهت‌ها و تفاوت‌ها با تهدیدهای شناخته‌شده

ماوریک در برخی روش‌های رمزگذاری فهرست بانک‌ها و الگوهای ارتباطی شبیه تروجان کویوت عمل می‌کند، اما معماری و ساختار عامل متفاوت است. این امر نشان می‌دهد که ماوریک یک تهدید جدید است که از قطعات و ایده‌های قبلی استفاده یا آن‌ها را بازنویسی کرده است.

پیامدها و ریسک‌ها

•          انتشار از طریق یک پیام‌رسان محبوب باعث گسترش سریع و کرمی‌شکل می‌شود.
•          اجرای کامل در حافظه تحلیل و شناسایی را سخت می‌کند.
•          قابلیت‌های پیشرفته سرقت اطلاعات بانکی و کنترل سیستم، خطر قابل توجهی ایجاد می‌کند.
•          استفاده از هوش مصنوعی در تولید کد می‌تواند توسعه سریع‌تر و پیچیده‌تر شدن بدافزار را تسهیل کند.
•          هدف‌گیری دقیق کاربران برزیلی نشان‌دهنده برنامه‌ریزی و هدف‌گذاری تخصصی حمله است.

جمع‌بندی

ماوریک یک زنجیره آلودگی پیچیده و حرفه‌ای است که با ترکیب انتشار از طریق واتس‌اپ و اجرای کامل در حافظه، تروجانی بانکی قدرتمندی را تولید می‌کند. هرچند برخی قطعات شبیه تهدیدهای قبلی است، ولی کل طراحی و معماری آن را به تهدیدی نو و جدی تبدیل می‌کند. تیم‌های امنیتی تاکنون هزاران اقدام برای پخش آلودگی را بلاک کرده‌اند، اما خطر و پتانسیل انتشار گسترده نیازمند پیگیری و مقابله‌ی مستمر است.

[1]اصلاح عامیانه‌تر برای واتس‌اپ است.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.