کمیته رکن چهارم – کارشناسان امنیت سایبری گونه جدیدی از بدافزار ExelaStealer را کشف کردهاند که منجر به سرقت دادههای خصوصی خواهد شد.
یک ابزار سرقت اطلاعات جدید به نام ExelaStealer در سال ۲۰۲۳ کشف شده و به جمع بدافزارهای معروف دیگری مانند RedLine، Raccoon و Vidar پیوست.
شرکت FortiGuard Labs، یک شرکت تحقیقاتی پیشرو در زمینه امنیت سایبری، برای نخستین بار در ماه آگوست خبر از کشف یک بدافزار جدید به نام ExelaStealer داد، اما اکنون این شرکت یافتههای بیشتری را در مورد این تهدید جدید فاش کرده است.
ابزار ExelaStealer یک بدافزار منبع باز است که میتواند با پرداخت هزینه، شخصیسازی شود. این ابزار به زبان پایتون نوشته شده است، اما در صورت نیاز میتواند از زبانهای دیگری مانند جاوا اسکریپت نیز استفاده کند. بدافزار ExelaStealer به دلیل استراتژی تبلیغاتی خود در دارکوب مورد توجه قرار گرفته است. توسعهدهندگان هر دو نسخه رایگان و پولی را با قیمتهای متفاوت، بسته به ویژگیهای آن، ارائه دادهاند. این تبلیغات توسط شخصی به نام quicaxd ارسال میشود که به نظر میرسد توسعهدهنده و فروشنده اصلی ExelaStealer باشد.
هزینه ماهانه استفاده از این ابزار ۲۰ دلار، هزینه ۳ ماه استفاده ۴۵ دلار و هزینه استفاده مادام العمر آن ۱۲۰ دلار آمریکا میباشد. کانال تلگرامی این بدافزار حداقل تا ماه آگوست فعال بوده است، هر چند ظاهراً این کانال در حال حاضر دیگر در دسترس نیست. این کانال امکان خرید نسخههای پولی را فراهم میآورد؛ همچنین یک لینک GitHub نیز برای دسترسی به نسخه متن باز این ابزار در این کانال قرار گرفته است.
برای ساخت ExelaStealer، باید به کد منبع و یک میزبان مبتنی بر ویندوز دسترسی داشت. فایل اصلی Exela.py است که توسط فایل obf.py رمزنگاری شده است تا تجزیه و تحلیل آن دشوارتر شود.
پس از دانلود کد منبع باز این بدافزار، فرایند ساخت آن با استفاده از یک فایل دستهای به زبان پایتون به نام builder.py آغاز میشود.
فایل سازنده از یک فایل به نام obf.py در ایجاد ارتباطات ضروری، جهت رمزنگاری در کد بدافزار به کمک فایل Obfuscated.py و سختتر کردن روند آنالیز آن استفاده میکند.
روش آلودهسازی استفاده شده توسط ExelaStealer مشخص نیست، اما میتواند شامل روشهای مختلفی مانند فیشینگ، حفرههای آب (watering holes) یا سایر روشهای ارسال بدافزار باشد. مقدار رشته دودویی زیر به عنوان یک ظرف و مرحله ابتدایی استقرار عمل میکند. با اجرای این رشته، فایل اجرایی sirket-ruhsat-pdf.exe ایجاد شده و ضمناً یک نمایشگر فایل PDF جهت نمایش یک سند فریبنده BNG 824 ruhsat.pdf به کاربر، راه اندازی میشود. هر دو فایل در ریشه درایو C قرار میگیرند.
فایل sirket-ruhsat-pdf.exe به صورت خودکار سعی میکند یک نمایشگر سازگار پیدا کند و “BNG 824 ruhsat.pdf” را اجرا کند. این فایل PDF یک کپی از گواهی ثبت نام خودروی داچیا داستر ترکیه است. این سند کاملاً خوش خیم و یک فریب بصری ساده برای کاربر است.
فایل sirket-ruhsat-pdf.exe یکPyInstaller قابل اجرا است و به عنوان یک ابزار، مشابه pyinstxtractor میتواند محتویات آرشیو را جهت بررسی استخراج نماید.
فایل اجرایی به احتمال زیاد با یک گواهی تقلبی یا نامعتبر امضا شده است و از نام «Runtime Broker» استفاده میکند که یک فرآیند قانونی مایکروسافت است.
با استفاده از ابزاری مانند pycdc (یک دیکامپایلر/دیاسمبلر بایت-کدهای پایتونی موجود در آدرس https://github.com/zrax/pycdc)، کد موجود در Obfuscated.pyc را میتوان دیکامپایل کرد.
نام تمامی متغیرها و توابع به صورت پیچیدهای رمز شده و مبهم هستند و زمان زیادی برای رمزگشایی آنها صرف شده است. ین داده رمز شده که به blob معروف شده است، در انتهای کد و به وسیله یک تابع، رمزگشایی و اجرا میشود.
در بررسی و آنالیزهای پویا مشخص شد که با تکمیل اولین فعالیت sirket-ruhsat-pdf.exe، این بدافزار خود را در یک پروسه جدید جایگزین نموده است.
در ادامه ExelaStealer دو دستور زیر را اجرا میکند:
- C:Windowssystem32cmd.exe /c “ver”
- wmic csproduct get uuid
این دستورات نسخه ویندوز و شناسه UUID (Universally Unique Identifier) سیستم میزبان را بر میگردانند. در ادامه یک دستور PowerShell رمز شده با base-64 اجرا میشود که با رمزگشایی این دستور مشخص شد که این دستور اقدام به گرفتن عکس از وضعیت جاری صفحه نمایش میکند. در ادامه با استفاده از مجموعه دستورات زیر، اطلاعات Clipboard ویندوز، اطلاعات پایه سیستم، اطلاعات پایه دیسک سخت، اطلاعات کاربر، وضعیت دیواره آتش و حتی وضعیت و پروفایل WLAN جمعآوری میشود:
- powershell.exe -Command ” $clipboardData = Get-Clipboard -Format Image $destinationPath = “C:UsersuserAppDataLocalTemp 0000000-0000-0000-0000-D05099DB2397last_clipboard_image.png” $clipboardData.Save($destinationPath)”
- C:Windowssystem32cmd.exe /c “echo ####System Info#### & systeminfo & echo ####System Version#### & ver & echo ####Host Name#### & hostname & echo ####Environment Variable#### & set & echo ####Logical Disk#### & wmic logicaldisk get caption,description,providername & echo ####User Info#### & net user & echo ####Startup Info#### & wmic startup get caption,command & echo ####Firewallinfo#### & netsh firewall show state “
- netsh wlan export profile
- C:Windowssystem32cmd.exe /c “netsh wlan show profile
این اطلاعات جمعآوری شده، قبل از ارسال به TA، در یک پوشه که با نام UUID دستگاه و در مسیر C:UsersAppDataLocalTemp ایجاد شده است، ذخیره میشود. همه فایلهای متنی موجود در این مسیر دارای لینکی به کانال تلگرامی TA میباشد.
در نهایت اطلاعات جمعآوریشده در قالب یک فایل فشرده Zip با نام مشابه نام فولدر ذخیرهسازی (UUID دستگاه) گردآوریشده و در زمان مناسب به کمک یک Discord webhook (https://discord.com/developers/docs/resources/webhook) به کانال Discord تحت کنترل TA ارسال میشوند.
بدافزار ExelaStealer یک ابزار سرقت اطلاعات جدید و همه کاره است که می تواند تهدیدی جدی برای دادهها و حریم خصوصی کاربران باشد.
محصولات تحت تأثیر
بدافزار ExelaStealer سیستمهای مبتنی بر ویندوز را مورد هدف قرار میدهد و انواع مختلفی از اطلاعات مانند رمز عبور، کارتهای اعتباری، کوکیها، جلسات و کلیدهای فشرده شده را به سرقت میبرد. اطلاعات به سرقت رفته میتواند تهدیدی جدی برای دادهها و حریم خصوصی کاربران باشد. این اطلاعات میتوانند برای حملات آتی مورد استفاده قرار بگیرند.
توصیههای امنیتی
براساس یافتههای شرکت Fortinet، نسخه فعلی بدافزار ExelaStealer رد پاهای زیر را از خود برجای می-گذارد:
- W32/ExelaStealer.0943!tr
- W32/ExelaStealer.C93A!tr
توصیه میشود تا کاربران ویندوزی فایلهای دریافتی خود را منحصراً از منابع معتبر دریافت نمایند. ضمناً تمامی فایلها، قبل از باز و اجرا شدن، باید توسط یک آنتی ویروس بهروز اسکن شود. فعال کردن گزینههای امنیتی اضافی نظیر فایروال، جهت مسدودسازی انتقال ترافیک به آدرسهای مورد انتظار این بدافزار، برروی سیستمهای شخصی نیز توصیه میگردد.
منبع: افتانا