یک ابزار جدید مدیریت از راه دور (RAT) که اسناد مایکروسافت آفیس و Adobe PDF را برای ارائه کدهای مخرب مسلح میکند، در انجمنهای وب تاریک و کانالهای تلگرام مشاهده شد.
این بدافزار توسط محققان امنیتی در Resecurity در آخر هفته کشف شد و در توصیهای که در یکشنبه، 21 آگوست 2022 منتشر شد، Escanor نامگذاری شد. بازیگران تهدید نسخههای مبتنی بر اندروید و رایانههای شخصی RAT را به همراه یک ماژول محاسبات شبکه مجازی مخفی (HVNC) ارائه میکنند و برای سلاح سازی از اسناد Microsoft Office و Adobe PDF برای سوءاستفاده و پیادهسازی کدهای مخرب استفاده میکنند.
طبق گفته تیم Resecurity، RAT برای اولین بار در 26 ژانویه 2022 برای فروش عرضه شد. این بدافزار در ابتدا بهعنوان یک ایمپلنت HVNC طراحی شد و این بدافزار بهسادگی به مهاجمان اجازه میداد تا یک اتصال راه دور بیصدا را با رایانه قربانی برقرار کنند. این ابزار بعداً به یک RAT تجاری در مقیاس کامل با مجموعهای از ویژگیهای غنی تبدیل شد.
Resecurity نوشت: Escanor در وب تاریک شهرت زیادی به دست آورده است و بیش از 28000 مشترک در کانال تلگرام جذب کرده است. درگذشته، این بازیگر دقیقاً با همین نام، نسخههای کرک شده سایر ابزارهای وب تاریک، ازجمله Venom RAT و Pandora HVNC را منتشر کرد که احتمالاً برای غنیسازی بیشتر قابلیتهای Escanor استفاده میشدند.
در مورد نسخه موبایل Escanor (معروف به Esca RAT)، این بدافزار بهطور فعال توسط مجرمان سایبری برای حمله به مشتریان بانکداری آنلاین از طریق رهگیری رمزهای یکبارمصرف (OTP) استفاده میشود. این ابزار را میتوان برای جمعآوری مختصات GPS قربانی، نظارت بر ضربههای کلید، فعال کردن دوربینها و مرور فایلها در دستگاههای تلفن همراه از راه دور برای سرقت دادهها استفاده کرد.
علاوه بر این، Resecurity هشدار داد که نام دامنه مورداستفاده توسط Escanor قبلاً در ارتباط با Arid Viper، گروهی فعال در منطقه خاورمیانه در سال 2015 شناساییشده بود که عمدتاً داراییهای نظامی اسرائیل را هدف قرار میداد.
در مورد Escanor، اکثر قربانیان آن در ایالاتمتحده، کانادا، امارات متحده عربی، عربستان سعودی، کویت، بحرین، مصر، اسرائیل، مکزیک و سنگاپور شناساییشدهاند که برخی از دسترسیهای مخرب در جنوب شرق آسیا مشاهدهشدهاند.
