یک ابزار جدید مدیریت از راه دور (RAT) که اسناد مایکروسافت آفیس و Adobe PDF را برای ارائه کدهای مخرب مسلح می‌کند، در انجمن‌های وب تاریک و کانال‌های تلگرام مشاهده شد.

این بدافزار توسط محققان امنیتی در Resecurity در آخر هفته کشف شد و در توصیه‌ای که در یکشنبه، 21 آگوست 2022 منتشر شد، Escanor نام‌گذاری شد. بازیگران تهدید نسخه‌های مبتنی بر اندروید و رایانه‌های شخصی RAT را به همراه یک ماژول محاسبات شبکه مجازی مخفی (HVNC) ارائه می‌کنند و برای سلاح سازی از اسناد Microsoft Office و Adobe PDF برای سوءاستفاده و پیاده‌سازی کدهای مخرب استفاده می‌کنند.

طبق گفته تیم Resecurity، RAT برای اولین بار در 26 ژانویه 2022 برای فروش عرضه شد. این بدافزار در ابتدا به‌عنوان یک ایمپلنت HVNC طراحی شد و این بدافزار به‌سادگی به مهاجمان اجازه می‌داد تا یک اتصال راه دور بی‌صدا را با رایانه قربانی برقرار کنند. این ابزار بعداً به یک RAT تجاری در مقیاس کامل با مجموعه‌ای از ویژگی‌های غنی تبدیل شد.

Resecurity نوشت: Escanor در وب تاریک شهرت زیادی به دست آورده است و بیش از 28000 مشترک در کانال تلگرام جذب کرده است. درگذشته، این بازیگر دقیقاً با همین نام، نسخه‌های کرک شده سایر ابزارهای وب تاریک، ازجمله Venom RAT و Pandora HVNC را منتشر کرد که احتمالاً برای غنی‌سازی بیشتر قابلیت‌های Escanor استفاده می‌شدند.

در مورد نسخه موبایل Escanor (معروف به Esca RAT)، این بدافزار به‌طور فعال توسط مجرمان سایبری برای حمله به مشتریان بانکداری آنلاین از طریق رهگیری رمزهای یک‌بارمصرف (OTP) استفاده می‌شود. این ابزار را می‌توان برای جمع‌آوری مختصات GPS قربانی، نظارت بر ضربه‌های کلید، فعال کردن دوربین‌ها و مرور فایل‌ها در دستگاه‌های تلفن همراه از راه دور برای سرقت داده‌ها استفاده کرد.

علاوه بر این، Resecurity هشدار داد که نام دامنه مورداستفاده توسط Escanor قبلاً در ارتباط با Arid Viper، گروهی فعال در منطقه خاورمیانه در سال 2015 شناسایی‌شده بود که عمدتاً دارایی‌های نظامی اسرائیل را هدف قرار می‌داد.

در مورد Escanor، اکثر قربانیان آن در ایالات‌متحده، کانادا، امارات متحده عربی، عربستان سعودی، کویت، بحرین، مصر، اسرائیل، مکزیک و سنگاپور شناسایی‌شده‌اند که برخی از دسترسی‌های مخرب در جنوب شرق آسیا مشاهده‌شده‌اند.

بیشتر بخوانید

کارشناسان امنیتی پلتفرم آنلاین Zscaler تحلیلی از نوع جدید بدافزار شناخته شده Raccoon Stealer منتشر کرده‌اند.

مجموعه Zscaler در یک توصیه‌نامه امنیتی نوشت که نسخه جدید بدافزار برخلاف نسخه‌های قبلی که عمدتاً در C++ نوشته شده بودند، به زبان C نوشته شده است.

بدافزار Raccoon Stealer 2.0 دارای یک back-end و front-end جدید و کدی برای سرقت اطلاعات کاربری و سایر داده‌ها به شکل کاملاً مؤثرتر است.

نسخه جدید سارق اعتبارنامه همچنین می‌تواند روی سیستم‌های ۳۲ و ۶۴ بیتی بدون نیاز به هیچ گونه وابستگی اضافی کار کند، در عوض هشت DLL قانونی را مستقیماً از سرور‌های C2 خود (به‌جای تکیه بر API ربات تلگرام) دریافت کند.

سرور C2 همچنین مسئول پیکربندی بدافزار است، از جمله برنامه‌های هدف، URL میزبان DLL و توکن‌هایی برای استخراج داده‌ها. سپس سرور‌ها داده‌های فینگرپرینت دستگاه را دریافت می‌کنند و منتظر درخواست‌های POST فردی می‌مانند که حاوی اطلاعات سرقت شده است.

بر اساس گزارش‌ها، انواع داده‌هایی که توسط Raccoon Stealer 2.0 به سرقت رفته است شامل اطلاعات فینگرپرینت سیستم، رمز‌های عبور مرورگر، کوکی‌ها، داده‌های تکمیل خودکار و کارت‌های اعتباری ذخیره‌شده، کیف پول‌های ارز‌های دیجیتال، فایل‌های موجود بر روی همه دیسک‌ها، اسکرین‌شات‌ها و لیست‌های برنامه‌های نصب شده است.

مجموعه Zscaler نوشت: «ما همچنین شاهد تغییری در نحوه پنهان کردن Raccoon Stealer v2 با استفاده از مکانیزمی بودیم که در آن نام‌های API به‌جای بارگذاری استاتیک به صورت پویا حل می‌شوند.»

طبق گزارشات، عملیات Raccoon Stealer در مارس ۲۰۲۲ پس از مرگ یکی از توسعه‌دهندگان اصلی در جریان تهاجم روسیه به اوکراین، تعطیل شد.

این تیم سپس در تالار‌های دارک‌وب نوشت که بر اساس تحلیل تحلیلگران امنیتی در Sekoia، با یک پست وبلاگ در یک انجمن دارک‌وب نامعلوم که نشان می‌دهد Raccoon Stealer 2.0 قبلاً در ماه می‌در حال توسعه بود، بازخواهند گشت.

تحلیل Zscaler می‌گوید: Raccoon Stealer که به عنوان Malware-as-a-Service فروخته می‌شود در چند سال گذشته محبوب شده و چندین مورد از این بدافزار مشاهده شده است.

«نویسندگان این بدافزار دائماً ویژگی‌های جدیدی را به این خانواده بدافزار اضافه می‌کنند. این دومین انتشار بزرگ بدافزار پس از اولین انتشار در سال ۲۰۱۹ است. این نشان می‌دهد که بدافزار احتمالاً تکامل می‌یابد و همچنان به عنوان تهدیدی دائمی برای سازمان‌ها باقی می‌ماند.»

بیشتر بخوانید

یک خانواده باج‌ افزار جدید به نام Luna می‌تواند برای رمزگذاری دستگاه‌های دارای سیستم عامل‌هایی از جمله سیستم‌های ویندوز، لینوکس و ESXi استفاده شود.

باج‌ افزار Luna که توسط محققان امنیتی Kaspersky از طریق یک تبلیغ انجمن باج‌افزار دارک‌وب که توسط سیستم نظارت فعال اطلاعات Darknet Threat این شرکت شناسایی شده است، کشف شد. به نظر می‌رسد که باج‌افزار Luna به‌طور خاص برای استفاده تنها توسط عوامل تهدید روسی‌زبان طراحی شده است.

کسپرسکی گفت: “در این آگهی آمده است که Luna فقط با وابستگان روسی زبان کار می‌کند. همچنین، یادداشت پیش‌نویسی شده باج در داخل باینری حاوی اشتباهات املایی است.

به همین دلیل، ما با اطمینان متوسط ​​فرض می‌کنیم که بازیگران پشت سر لونا به زبان روسی صحبت می‌کنند.

بدافزار Luna (به روسی ماه) باج‌افزار بسیار ساده‌ای است که هنوز در دست توسعه است و با قابلیت‌های محدود بر اساس گزینه‌های کامند لاین موجود است.

با این حال، از یک طرح رمزگذاری نه چندان رایج استفاده می‌کند، که منحنی بیضوی سریع و ایمن X25519 Diffie-Hellman را با استفاده از Curve25519 با الگوریتم رمزگذاری متقارن رمزگذاری پیشرفته (AES) ترکیب می‌کند.

باج‌ افزار کراس پلتفرمی مبتنی بر Rust
گروهی که پشت این باج‌ افزار جدید قرار دارد، این نوع جدید را در Rust توسعه داده و از ماهیت پلتفرم-آگنوستیک آن برای انتقال آن به پلتفرم‌های متعدد با تغییرات بسیار کمی در سورس‌کد استفاده کرده است.

استفاده از یک زبان بین پلتفرمی همچنین باج‌افزار Luna را قادر می‌سازد تا از تلاش‌های تجزیه و تحلیل کد استاتیک خودکار فرار کرده و بگریزد.

محققان افزودند: “هر دو نمونه لینوکس و ESXi با استفاده از کد منبع یکسان با برخی تغییرات جزئی نسبت به نسخه ویندوز کامپایل شده‌اند. بقیه کد‌ها هیچ تغییر قابل توجهی نسبت به نسخه ویندوز ندارند.”

بدافزار Luna همچنین آخرین روند اتخاذ شده توسط باند‌های جرایم سایبری را تأیید می‌کند که باج‌افزار‌های چند پلتفرمی را توسعه می‌دهند که از زبان‌هایی مانند Rust و Golang برای ایجاد بدافزار‌هایی استفاده می‌کنند که قادر به هدف قرار دادن چندین سیستم عامل بدون تغییر اندک هستند.

کسپرسکی می‌گوید با توجه به اینکه این گروه به تازگی کشف شده و فعالیت‌های آن همچنان تحت نظارت است، داده‌های بسیار کمی در مورد اینکه چه قربانیانی با استفاده از باج‌افزار Luna رمزگذاری شده‌اند، وجود دارد.

دیگر خانواده‌های باج‌افزار جدید
بلیپینگ کامپیوتر در این ماه گزارشی درباره Lilith، باج‌افزار مبتنی بر کنسول C/C++ که دستگاه‌های Windows 64 بیتی را هدف قرار می‌دهد، و 0mega، یک عملیات باج‌افزار جدید که شرکت‌ها را از ماه می‌هدف قرار می‌دهد و میلیون‌ها دلار باج می‌خواهد، منتشر کرد.

و همچنین هر دو به سرقت داده‌ها از شبکه‌های قربانیان قبل از رمزگذاری سیستم‌هایشان برای پشتیبانی از حملات اخاذی مضاعف معروف هستند.

بیشتر بخوانید
error: شما اجازه کپی کردن ندارید !!