کمیته رکن چهارم – در گذشته پژوهشگران Palo Alto Networks گزارشهایی را درباره بدافزار شاهزاده ایرانی منتشر کردند که بنظر میرسد بیش از ۱۰ سال از فعالیتش می گذرد.
در دو سال گذشته پژوهشگران Palo Alto Networks گزارشهایی را درباره بدافزار شاهزاده ایرانی منتشر کردند که بنظر میرسد بیش از ۱۰ سال از فعالیتش می گذرد. در گزارش اول که Palo Alto Networks در سال ۲۰۱۶ منتشر کرد، این بدافزار با Infy و در گزارش دوم با Foudre نام گذاری شده است. در زمان انتشار این گزارش، Palo Alto Networks اظهار داشت که نسخههای ۱ و ۲ بدافزار Foudre مشاهده شده است. در گزارشی که Intezer به تازگی منتشر کرده است، شواهدی کشف شده است که نشان میدهد حملات بدافزار شاهزاده ایرانی همچنان فعال و در آن از نسخه ۸ بدافزار Foudre استفاده شده است. در این گزارش، ویژگیهای جدید و منحصر به فرد نسخه جدید بدافزار Foudre مورد بررسی قرار گرفتهاند.
نسخههای اولیه
گزارش اولیه Palo Alto Networks در سال ۲۰۱۶ منتشر شد که در آن بدافزار Infy تحلیل شده است. در حملات این بدافزار از ایمیلهای فیشینگ استفاده شده است و این ایمیلها حاوی پیوستهایی با فرمت اسناد Word یا PowerPoint مخرب هستند. این فایلها دارای یک فایل آرشیو اجرایی خود استخراج شونده (self-extracting) هستند که پس از اجرا محتوای مخرب را منتقل میکنند. در یک نمونه از فایل PowerPoint مخرب، تصویر یک فایل ویدئویی جعلی قرار داده شده که بنظر میرسد متوقف شده است، قربانی با کلیک بر روی پخش فیلم، فایل آرشیو را اجرا میکند.
در گزارش دوم که در سال ۲۰۱۷ منتشر شد، نسخه تکامل یافته Infy با نام Foudre (به معنای رعد و برق در زبان فرانسوی) بررسی شد. نسخه تکامل یافته Infy نیز با ایمیلهای فیشینگ با پیوست فایلهای اجرایی خود استخراج شونده توزیع میشود. در صورت اجرا یک بارگذار کننده اجرایی، یک DLL مخرب و یک فایل readme به سیستم قربانی منتقل میشود. نسخه تکامل یافته قابلیتهایی نظیر keylogger، دریافت محتوای کلیپبرد در یک چرخه ده ثانیهای و اطلاعات سیستم شامل لیست فرایندها، آنتیویروسهای نصب شده، کوکیها و سایر اطلاعات مرورگر را دارد.
نسخه جدید Foudre
مشابه نسخههای قبلی، نسخه جدید بدافزار Foudre یعنی نسخه ۸ نیز در یک آرشیو WinRAR خود استخراج شونده قرار داده شده است. در این آرشیو چندین فایل اجرایی مخرب و یک فایل ویدئویی وجود دارد. فایل ویدئویی دارای فرمت MP۴ و هدف اصلی درج ویدئو در فایل آرشیو منحرف کردن قربانی و نصب بدافزار حین پخش ویدئو است.
بدافزار Foudre یک ابزا با دسترسی از راه دور است که قابلیتهای اجرای دستور، سرقت اطلاعات سیستم (مانند کلیدهای وارد شده در صفحه کلید، اطلاعات فرایندهای پردازشی و غیره) و بروزرسانی خودکار را دارد. اکثر کد و عملکرد این نسخه مشابه Infy و نسخههای قبلی Foudre است. اما چندین ویژگی جدید و منحصر به فرد به آن اضافه شده است.
همانطور که گفته شد در فایل آرشیو WINRAR SFX سه فایل اجرایی وجود دارد. فایل اجرایی اصلی Foudre تقریبا در VirusTotal ناشناخته است و از ۶۷ مورد تنها ۳ مورد آنرا شناسایی میکنند.
