بدافزاری جدید اطلاعات حساس کاربران را سرقت می‌کند

کمیته رکن چهارم – کارشناسان امنیت سایبری گونه جدیدی از بدافزار ExelaStealer را کشف کرده‌اند که منجر به سرقت داده‌های خصوصی خواهد شد.

یک ابزار سرقت اطلاعات جدید به نام ExelaStealer در سال ۲۰۲۳ کشف شده و به جمع بدافزارهای معروف دیگری مانند RedLine، Raccoon و Vidar پیوست.

شرکت FortiGuard Labs، یک شرکت تحقیقاتی پیشرو در زمینه امنیت سایبری، برای نخستین بار در ماه آگوست خبر از کشف یک بدافزار جدید به نام ExelaStealer داد، اما اکنون این شرکت یافته‌‌‌‌‌های بیشتری را در مورد این تهدید جدید فاش کرده است.

ابزار ExelaStealer یک بدافزار منبع باز است که می‌‌‌‌‌تواند با پرداخت هزینه، شخصی‌‌‌‌‌سازی شود. این ابزار به زبان پایتون نوشته شده است، اما در صورت نیاز می‌‌‌‌‌تواند از زبان‌‌‌‌‌های دیگری مانند جاوا اسکریپت نیز استفاده کند. بدافزار ExelaStealer به دلیل استراتژی تبلیغاتی خود در دارک‌وب مورد توجه قرار گرفته است. توسعه‌دهندگان هر دو نسخه رایگان و پولی را با قیمت‌‌‌‌‌های متفاوت، بسته به ویژگی‌‌‌‌‌های آن، ارائه داده‌‌‌‌‌اند. این تبلیغات توسط شخصی به نام quicaxd ارسال می‌‌‌‌‌شود که به نظر می‌‌‌‌‌رسد توسعه‌‌‌‌‌دهنده و فروشنده اصلی ExelaStealer باشد.

هزینه ماهانه استفاده از این ابزار ۲۰ دلار، هزینه ۳ ماه استفاده ۴۵ دلار و هزینه استفاده مادام العمر آن ۱۲۰ دلار آمریکا می‌‌‌‌‌‌باشد. کانال تلگرامی این بدافزار حداقل تا ماه آگوست فعال بوده است، هر چند ظاهراً این کانال در حال حاضر دیگر در دسترس نیست. این کانال امکان خرید نسخه‌‌‌‌‌‌های پولی را فراهم می‌‌‌‌‌‌آورد؛ همچنین یک لینک GitHub نیز برای دسترسی به نسخه متن باز این ابزار در این کانال قرار گرفته است.

برای ساخت ExelaStealer، باید به کد منبع و یک میزبان مبتنی بر ویندوز دسترسی داشت. فایل اصلی Exela.py است که توسط فایل obf.py رمزنگاری شده است تا تجزیه و تحلیل آن دشوارتر شود.

پس از دانلود کد منبع باز این بدافزار، فرایند ساخت آن با استفاده از یک فایل دسته‌‌‌‌‌‌‌ای به زبان پایتون به نام builder.py آغاز می‌‌‌‌‌‌‌شود.

فایل سازنده از یک فایل به نام obf.py در ایجاد ارتباطات ضروری، جهت رمزنگاری در کد بدافزار به کمک فایل Obfuscated.py و سخت‌‌‌‌‌‌‌‌‌تر کردن روند آنالیز آن استفاده می‌‌‌‌‌‌‌‌‌کند.

روش آلوده‌‌‌‌‌‌‌‌‌سازی استفاده شده توسط ExelaStealer مشخص نیست، اما می‌تواند شامل روش‌های مختلفی مانند فیشینگ، حفره‌های آب (watering holes) یا سایر روش‌های ارسال بدافزار باشد. مقدار رشته دودویی زیر به عنوان یک ظرف و مرحله ابتدایی استقرار عمل می‌‌‌‌‌‌‌‌‌کند. با اجرای این رشته، فایل اجرایی sirket-ruhsat-pdf.exe ایجاد شده و ضمناً یک نمایشگر فایل PDF جهت نمایش یک سند فریبنده BNG 824 ruhsat.pdf به کاربر، راه اندازی می‌‌‌‌‌‌‌‌‌شود. هر دو فایل در ریشه درایو C قرار می‌‌‌‌‌‌‌‌‌گیرند.

فایل sirket-ruhsat-pdf.exe به صورت خودکار سعی می‌‌‌‌‌‌‌‌‌کند یک نمایشگر سازگار پیدا کند و “BNG 824 ruhsat.pdf” را اجرا کند. این فایل PDF یک کپی از گواهی ثبت نام خودروی داچیا داستر ترکیه است. این سند کاملاً خوش خیم و یک فریب بصری ساده برای کاربر است.

فایل sirket-ruhsat-pdf.exe یکPyInstaller قابل اجرا است و به عنوان یک ابزار، مشابه pyinstxtractor می‌‌‌‌‌‌‌‌‌تواند محتویات آرشیو را جهت بررسی استخراج نماید.

فایل اجرایی به احتمال زیاد با یک گواهی تقلبی یا نامعتبر امضا شده است و از نام «Runtime Broker» استفاده می‌کند که یک فرآیند قانونی مایکروسافت است.

با استفاده از ابزاری مانند pycdc (یک دی‌‌‌‌‌‌‌‌‌کامپایلر/دی‌‌‌‌‌‌‌‌‌اسمبلر بایت-کدهای پایتونی موجود در آدرس https://github.com/zrax/pycdc)، کد موجود در Obfuscated.pyc را می‌‌‌‌‌‌‌‌‌توان دی‌‌‌‌‌‌‌‌‌کامپایل کرد.

نام تمامی متغیرها و توابع به صورت پیچیده‌ای رمز شده و مبهم هستند و زمان زیادی برای رمزگشایی آن‌ها صرف شده است. ین داده رمز شده که به blob معروف شده است، در انتهای کد و به وسیله یک تابع، رمزگشایی و اجرا می‌‌‌‌‌‌‌‌‌شود.

در بررسی و آنالیزهای پویا مشخص شد که با تکمیل اولین فعالیت sirket-ruhsat-pdf.exe، این بدافزار خود را در یک پروسه جدید جایگزین نموده است.

در ادامه ExelaStealer دو دستور زیر را اجرا می‌‌‌‌‌‌‌‌‌کند:

  •  C:Windowssystem32cmd.exe /c “ver”
  •  wmic csproduct get uuid

این دستورات نسخه ویندوز و شناسه UUID (Universally Unique Identifier) سیستم میزبان را بر می‌گردانند. در ادامه یک دستور PowerShell رمز شده با base-64 اجرا می‌‌‌‌‌‌‌‌‌شود که با رمزگشایی این دستور مشخص شد که این دستور اقدام به گرفتن عکس از وضعیت جاری صفحه نمایش می‌‌‌‌‌‌‌‌‌کند. در ادامه با استفاده از مجموعه دستورات زیر، اطلاعات Clipboard ویندوز، اطلاعات پایه سیستم، اطلاعات پایه دیسک سخت، اطلاعات کاربر، وضعیت دیواره آتش و حتی وضعیت و پروفایل WLAN جمع‌‌‌‌‌‌‌‌‌آوری می‌‌‌‌‌‌‌‌‌شود:

  •  powershell.exe -Command ” $clipboardData = Get-Clipboard -Format Image $destinationPath = “C:UsersuserAppDataLocalTemp 0000000-0000-0000-0000-D05099DB2397last_clipboard_image.png” $clipboardData.Save($destinationPath)”
  •  C:Windowssystem32cmd.exe /c “echo ####System Info#### & systeminfo & echo ####System Version#### & ver & echo ####Host Name#### & hostname & echo ####Environment Variable#### & set & echo ####Logical Disk#### & wmic logicaldisk get caption,description,providername & echo ####User Info#### & net user & echo ####Startup Info#### & wmic startup get caption,command & echo ####Firewallinfo#### & netsh firewall show state “
  •  netsh wlan export profile
  •  C:Windowssystem32cmd.exe /c “netsh wlan show profile

این اطلاعات جمع‌‌‌‌‌‌‌‌‌آوری شده، قبل از ارسال به TA، در یک پوشه که با نام UUID دستگاه و در مسیر C:UsersAppDataLocalTemp ایجاد شده است، ذخیره می‌‌‌‌‌‌‌‌‌شود. همه فایل‌‌‌‌‌‌‌‌‌های متنی موجود در این مسیر دارای لینکی به کانال تلگرامی TA می‌‌‌‌‌‌‌‌‌باشد.

در نهایت اطلاعات جمع‌‌‌‌‌‌‌‌‌آوری‌شده در قالب یک فایل فشرده Zip با نام مشابه نام فولدر ذخیره‌‌‌‌‌‌‌‌‌سازی (UUID دستگاه) گردآوری‌شده و در زمان مناسب به کمک یک Discord webhook (https://discord.com/developers/docs/resources/webhook) به کانال Discord تحت کنترل TA ارسال می‌‌‌‌‌‌‌‌‌شوند.

بدافزار ExelaStealer یک ابزار سرقت اطلاعات جدید و همه کاره است که می تواند تهدیدی جدی برای داده‌‌‌‌‌‌‌‌‌ها و حریم خصوصی کاربران باشد.

محصولات تحت تأثیر

بدافزار ExelaStealer سیستم‌های مبتنی بر ویندوز را مورد هدف قرار می‌دهد و انواع مختلفی از اطلاعات مانند رمز عبور، کارت‌های اعتباری، کوکی‌ها، جلسات و کلیدهای فشرده شده را به سرقت می‌برد. اطلاعات به سرقت رفته می‌‌‌‌‌‌‌‌‌تواند تهدیدی جدی برای داده‌‌‌‌‌‌‌‌‌ها و حریم خصوصی کاربران باشد. این اطلاعات می‌‌‌‌‌‌‌‌‌توانند برای حملات آتی مورد استفاده قرار بگیرند.

توصیه‌های امنیتی

براساس یافته‌‌‌‌‌‌‌‌‌های شرکت Fortinet، نسخه فعلی بدافزار ExelaStealer رد پاهای زیر را از خود برجای می-گذارد:

  •  W32/ExelaStealer.0943!tr
  •  W32/ExelaStealer.C93A!tr

توصیه می‌‌‌‌‌‌‌‌‌شود تا کاربران ویندوزی فایل‌‌‌‌‌‌‌‌‌های دریافتی خود را منحصراً از منابع معتبر دریافت نمایند. ضمناً تمامی فایل‌‌‌‌‌‌‌‌‌ها، قبل از باز و اجرا شدن، باید توسط یک آنتی ویروس به‌روز اسکن شود. فعال کردن گزینه‌‌‌‌‌‌‌‌‌های امنیتی اضافی نظیر فایروال، جهت مسدودسازی انتقال ترافیک به آدرس‌‌‌‌‌‌‌‌‌های مورد انتظار این بدافزار، برروی سیستم‌‌‌‌‌‌‌‌‌های شخصی نیز توصیه می‌‌‌‌‌‌‌‌‌گردد.

منبع: افتانا

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.