Silver RAT: تهدیدی مخفیانه برای سیستم‌های ویندوزی

محققان امنیتی بدافزار جدیدی به نام Silver RAT را شناسایی کرده‌اند که با استفاده از تکنیک‌های پیشرفته دور زدن آنتی‌ویروس، تهدیدی جدی برای سیستم‌های مبتنی بر ویندوز ایجاد کرده است. این تروجان دسترسی از راه دور (RAT)، که در C# نوشته شده و ابتدا در نوامبر ۲۰۲۳ ظاهر شد، توسط گروهی با نام مستعار Anonymous Arabic توسعه یافته و در انجمن‌های هکری و تلگرام تبلیغ می‌شود. Silver RAT با قابلیت‌های سرقت داده، keylogging و کنترل از راه دور، کاربران و سازمان‌ها را در معرض خطر قرار می‌دهد.

جزئیات بدافزار Silver RAT چیست؟

• نوع تهدید: تروجان دسترسی از راه دور (Remote Access Trojan - RAT)

• قابلیت‌ها: سرقت داده‌ها (رمزهای عبور، کوکی‌های مرورگر)، keylogging، اجرای مخفی برنامه‌ها، رمزگذاری داده‌ها با باج‌افزار، غیرفعال کردن نقاط بازیابی سیستم.

• شدت خطر: بالا (به دلیل دور زدن آنتی‌ویروس و طراحی ماژولار).

• تأثیر: سرقت هویت، دسترسی غیرمجاز به سیستم‌ها، تخلیه حساب‌های بانکی و کیف‌پول‌های رمزارز، استقرار باج‌افزار.

• روش انتشار: ایمیل‌های فیشینگ، وب‌سایت‌های آلوده، به‌روزرسانی‌های نرم‌افزاری جعلی، لینک‌های مخرب در تلگرام و GitHub.

چگونه Silver RAT عمل می‌کند؟

• Silver RAT از تکنیک‌های پیچیده‌ای برای مخفی ماندن استفاده می‌کند:

1. Process Hollowing: بدافزار کد مخرب را در فرآیندهای قانونی ویندوز (مانند svchost.exe) تزریق می‌کند تا از تشخیص آنتی‌ویروس جلوگیری کند.

2. Dynamic API Resolution: فراخوانی‌های API ویندوز را در زمان اجرا حل می‌کند، که تحلیل استاتیک را دشوار می‌سازد.

3. Obfuscation پیشرفته: کد بدافزار با رمزنگاری و روش‌های مبهم‌سازی (مانند FUD Crypters) مخفی می‌شود تا از تشخیص مبتنی بر امضا فرار کند.

4. کنترل از راه دور: از طریق سرورهای فرمان و کنترل (C2) یا صفحات وب، امکان مدیریت فایل‌ها، برنامه‌ها، رجیستری و اجرای دستورات را فراهم می‌کند.

5. حذف نقاط بازیابی: نقاط بازیابی سیستم را غیرفعال می‌کند تا بازیابی سیستم دشوار شود.
   این بدافزار با payloadهای کوچک (40-50 کیلوبایت) و گزینه‌های سفارشی‌سازی، از طریق مهندسی اجتماعی مانند ایمیل‌های فیشینگ یا دانلودهای جعلی منتشر می‌شود. پس از اجرا، به سرعت با سرور C2 ارتباط برقرار کرده و داده‌های حساس را استخراج می‌کند.

• وضعیت بهره‌برداری
• تا ۲۷ می ۲۰۲۵، Silver RAT به دلیل نشت کد منبع در تلگرام و GitHub به‌طور گسترده در دسترس هکرها قرار گرفته است. این نشت، که توسط کاربری ناشناس انجام شد، استفاده از بدافزار را در میان هکرهای آماتور و حرفه‌ای افزایش داده است. گزارش‌ها نشان می‌دهد که این بدافزار در بخش‌های مالی، بهداشتی و دولتی هدف‌گذاری شده و شواهد بهره‌برداری فعال در انجمن‌های هکری مشاهده شده است.
• اقدامات لازم برای محافظت
• برای محافظت در برابر Silver RAT:

1. به‌روزرسانی آنتی‌ویروس: از آنتی‌ویروس‌های به‌روز مانند Combo Cleaner یا ESET با قابلیت تشخیص رفتار استفاده کنید.

2. اجتناب از منابع مشکوک: از دانلود نرم‌افزار از وب‌سایت‌های غیررسمی یا باز کردن پیوست‌های ایمیل ناشناخته خودداری کنید.

3. فعال‌سازی MFA: احراز هویت دو مرحله‌ای را برای حساب‌های حساس فعال کنید.

4. نظارت بر شبکه: از سیستم‌های تشخیص نفوذ (IDS) برای شناسایی ترافیک مشکوک به سرورهای C2 استفاده کنید.

5. آموزش کاربران: کارکنان را در برابر فیشینگ و مهندسی اجتماعی آموزش دهید.

6. مدیریت رجیستری و وظایف: رجیستری و وظایف زمان‌بندی‌شده را برای فعالیت‌های غیرعادی بررسی کنید.