نفوذ بدافزار Raccoon Stealer به تلگرام

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir raccoon stealer telegram 1
بدافزار Raccoon Stealer که سرقت‌کننده اعتبارنامه است، از برنامه چت برای ذخیره و بروزرسانی آدرس‌های C2 استفاده می‌کند زیرا کلاهبرداران راه‌های خلاقانه جدیدی برای توزیع بدافزار پیدا می‌کنند.

یک سارق اعتبارنامه که اولین بار چند سال پیش به محبوبیت رسید، اکنون از تلگرام برای command-and-control (C2) سواستفاده می‌کند. محققان گزارش کرده‌اند که طیفی از مجرمان سایبری به گسترش سطح حمله خود از طریق ابزار‌های توزیع خلاقانه مانند این ادامه می‌دهند.

بدافزار Raccoon Stealer که برای اولین بار در‌آوریل ۲۰۱۹ در صحنه ظاهر شد، طی یک پست وبلاگی که توسط Avast Threat Labs در این هفته منتشر شد، گفته شد که توانایی ذخیره و بروزرسانی آدرس‌های C2 واقعی خود را در زیرساخت تلگرام اضافه کرده است. به گفته محققان، این به آن‌ها یک مرکز فرماندهی "راحت و قابل اعتماد" بر روی پلتفرم می‌دهد که می‌توانند به راحتی آنرا به‌روز کنند.

این بدافزار (که گمان می‌رود توسط مجرمان سایبری وابسته به روسیه توسعه و نگهداری می‌شود) در هسته خود یک دزد اعتبارنامه است اما قادر به انجام طیف وسیعی از فعالیت‌های شرورانه می‌باشد. این بدافزار می‌تواند نه تنها رمز‌های عبور، بلکه کوکی‌ها، اطلاعات ورود به سیستم و فرم‌های ذخیره شده را از مرورگر‌ها، اعتبار ورود به سیستم از سرویس گیرندگان‌ایمیل و پیام‌رسان‌ها، فایل‌ها از کیف پول‌های رمزارز، داده‌های افزونه‌ها و برنامه‌های اکستنشن مرورگر، و فایل‌های دلخواه را بر اساس دستورات C2 خود به سرقت ببرد.

ولادیمیر مارتیانوف، محقق Avast Threat Labs، در این پست نوشت: "علاوه بر این، می‌تواند فایل‌های دلخواه را با دستور از C2 خود دانلود و اجرا کند. او گفت که این بدافزار، در ترکیب با توسعه و ترویج فعال در انجمنهای زیرزمینی، Raccoon Stealer را تبدیل به عاملی «متداول و خطرناک» می‌کند".

پس از انتشار آن در سال ۲۰۱۹، مجرمان سایبری به سرعت این بدافزار را به دلیل مدل malware-as-a-service (MaaS) کاربرپسند آن، که راهی سریع و آسان برای کسب درآمد از طریق سرقت داده‌های حساس به آن‌ها ارائه می‌دهد، پذیرفتند.

توزیع خلاقانه
در اوایل، مشاهده شد که مهاجمان Raccoon Stealer را از طریق یک فایل IMG. میزبانی شده بر روی یک حساب Dropbox تحت کنترل هکر‌ها در کمپین‌های کاهش خطر‌ایمیل تجاری (BEC) که مؤسسات مالی و سایر سازمان‌ها را هدف قرار می‌دادند، مستقر می‌کردند.

مارتیانوف گفت که به تازگی، محققان Avast Threat Labs تعدادی راه‌های جدید و خلاقانه را مشاهده کردند که مهاجمان در حال توزیع Raccoon Stealer هستند.

او نوشت: "با در نظر گرفتن این که Raccoon Stealer برای فروش است، تکنیک‌های توزیع آن تنها محدود که درخواست خریداران نهایی می‌شود".

مارتیانوف نوشت که علاوه بر پخش شدن توسط دو لودر (Buer Loader و GCleaner)، مهاجمان Raccoon Stealer را از طریق کد تقلب‌های بازی جعلی، پچ‌های نرم‌افزار‌های کرک شده (از جمله هک‌ها و مد‌های Fortnite، Valorant و NBA2K22) یا نرم‌افزار‌های دیگر توزیع می‌کنند.

او افزود که مجرمان سایبری همچنین سعی می‌کنند با پکینگ سرقت اعتبارنامه، با استفاده از پکر‌های Themida یا پکر‌های بدافزار، از شناسایی فرار کنند و برخی از نمونه‌ها بیش از پنج بار متوالی با همان پکر، پکینگ شده‌اند.

سوء استفاده از C2 در تلگرام
در این گزارش نحوه ارتباط آخرین نسخه Raccoon Stealer با C2 در تلگرام توضیح داده شده است: طبق پست، چهار مقدار «مهم» برای ارتباط C2 آن وجود دارد که در هر نمونه Raccoon Stealer کدگذاری شده است. آن‌ها به صورت زیر هستند:

• MAIN_KEY، که چهار بار در طول سال تغییر کرده است.
• آدرس گیت‌های تلگرام با نام کانال؛
• BotID، یک رشته هگزادسیمال، هر بار به C2 ارسال می‌شود.
• TELEGRAM_KEY، کلید رمزگشایی آدرس C2 به دست آمده از گیت تلگرام.

این بدافزار برای ربودن تلگرام برای C2 آن، ابتدا MAIN_KEY را رمزگشایی می‌کند که از آن برای رمزگشایی آدرس‌های اینترنتی گیت‌های تلگرام و BotID استفاده می‌کند. مارتیانوف نوشت، سارق سپس از گیت تلگرام برای رسیدن به C2 واقعی خود با استفاده از یک رشته کوئری استفاده می‌کند که در نهایت به او اجازه می‌دهد از زیرساخت تلگرام برای ذخیره و بروزرسانی آدرس‌های واقعی C2 استفاده کند.

با دانلود و اجرای فایل‌های دلخواه از یک دستور از C2، سارق همچنین قادر به توزیع بدافزار است. Avast Threat Labs حدود ۱۸۵ فایل را با حجم کل ۲۶۵ مگابایت (از جمله دانلودکننده‌ها، دزد‌های رمزنگاری کلیپ بورد و باج‌افزار WhiteBlackCrypt) که توسط Raccoon Stealer توزیع می‌شد، جمع‌آوری کرده است.

اجتناب از نهاد‌های روسی
پس از اجرا، Racoon Stealer شروع به بررسی تنظیمات محلی کاربر پیش‌فرض روی دستگاه آلوده می‌کند و اگر کاربر یکی از موارد زیر باشد، کار نمی‌کند: روسی، اوکراینی، بلاروسی، قزاقستانی، قرقیزستانی، ارمنی، تاجیکی یا ازبکی. محققان معتقدند این احتمالاً به این دلیل است که خود توسعه‌دهندگان روسی هستند.

با این حال، Avast Threat Labs دریافت که در فعالیت‌های اخیر، «کشوری که ما بیشترین تلاش‌ها را در آن مسدود کرده‌ایم روسیه است، که جالب است زیرا عاملان پشت این بدافزار نمی‌خواهند رایانه‌های روسیه یا آسیای مرکزی را آلوده کنند».

او خاطرنشان کرد که این می‌تواند به این دلیل باشد که "حملات spray and pray هستند و بدافزار را در سراسر جهان توزیع می‌کنند". بدافزار تا زمانی که واقعاً به دستگاهی نرسد مکان کاربر را بررسی نمی‌کند. اگر متوجه شود که دستگاه در منطقه‌ای قرار دارد که توسعه‌دهندگان نمی‌خواهند آن را هدف قرار دهند، اجرا نمی‌شود.

وی افزود: "این به وضوح توضیح می‌دهد که چرا ما تلاش‌های زیادی برای حمله در روسیه شناسایی کردیم. ما قبل از اینکه بدافزار اجرا شود، یعنی قبل از اینکه حتی به مرحله‌ای برسد که محلی بودن دستگاه را بررسی می‌کند، آن را مسدود می‌کنیم. اگر دستگاه محافظت‌نشده‌ای که با بدافزار مواجه می‌شود که زبان آن روی انگلیسی یا هر زبان دیگری که در لیست استثنا نیست اما در روسیه است تنظیم شده باشد، همچنان آلوده می‌شود".

برچسب ها: Crack, WhiteBlackCrypt, BotID, MAIN_KEY, Gate, گیت‌, TELEGRAM_KEY, Packing, Packer, پکینگ, Themida, NBA2K22, Fortnite, Valorant, کد تقلب‌ بازی, Buer Loader, GCleaner, BEC, MaaS, malware-as-a-service, Avast Threat Labs, C2, Cookie, Platform, کوکی‌, Russia, مرورگر, Dropbox, باج‌افزار, Raccoon Stealer, پلتفرم, Crypto, پچ, Browser, کرک, افزونه, Plugin, command and control, Update, Patch, رمزارز, malware, Cyber Security, Telegram, روسیه, بروزرسانی, بدافزار, امنیت سایبری, تلگرام, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ