یک ابزار جدید مدیریت از راه دور (RAT) که اسناد مایکروسافت آفیس و Adobe PDF را برای ارائه کدهای مخرب مسلح می‌کند، در انجمن‌های وب تاریک و کانال‌های تلگرام مشاهده شد.

این بدافزار توسط محققان امنیتی در Resecurity در آخر هفته کشف شد و در توصیه‌ای که در یکشنبه، 21 آگوست 2022 منتشر شد، Escanor نام‌گذاری شد. بازیگران تهدید نسخه‌های مبتنی بر اندروید و رایانه‌های شخصی RAT را به همراه یک ماژول محاسبات شبکه مجازی مخفی (HVNC) ارائه می‌کنند و برای سلاح سازی از اسناد Microsoft Office و Adobe PDF برای سوءاستفاده و پیاده‌سازی کدهای مخرب استفاده می‌کنند.

طبق گفته تیم Resecurity، RAT برای اولین بار در 26 ژانویه 2022 برای فروش عرضه شد. این بدافزار در ابتدا به‌عنوان یک ایمپلنت HVNC طراحی شد و این بدافزار به‌سادگی به مهاجمان اجازه می‌داد تا یک اتصال راه دور بی‌صدا را با رایانه قربانی برقرار کنند. این ابزار بعداً به یک RAT تجاری در مقیاس کامل با مجموعه‌ای از ویژگی‌های غنی تبدیل شد.

Resecurity نوشت: Escanor در وب تاریک شهرت زیادی به دست آورده است و بیش از 28000 مشترک در کانال تلگرام جذب کرده است. درگذشته، این بازیگر دقیقاً با همین نام، نسخه‌های کرک شده سایر ابزارهای وب تاریک، ازجمله Venom RAT و Pandora HVNC را منتشر کرد که احتمالاً برای غنی‌سازی بیشتر قابلیت‌های Escanor استفاده می‌شدند.

در مورد نسخه موبایل Escanor (معروف به Esca RAT)، این بدافزار به‌طور فعال توسط مجرمان سایبری برای حمله به مشتریان بانکداری آنلاین از طریق رهگیری رمزهای یک‌بارمصرف (OTP) استفاده می‌شود. این ابزار را می‌توان برای جمع‌آوری مختصات GPS قربانی، نظارت بر ضربه‌های کلید، فعال کردن دوربین‌ها و مرور فایل‌ها در دستگاه‌های تلفن همراه از راه دور برای سرقت داده‌ها استفاده کرد.

علاوه بر این، Resecurity هشدار داد که نام دامنه مورداستفاده توسط Escanor قبلاً در ارتباط با Arid Viper، گروهی فعال در منطقه خاورمیانه در سال 2015 شناسایی‌شده بود که عمدتاً دارایی‌های نظامی اسرائیل را هدف قرار می‌داد.

در مورد Escanor، اکثر قربانیان آن در ایالات‌متحده، کانادا، امارات متحده عربی، عربستان سعودی، کویت، بحرین، مصر، اسرائیل، مکزیک و سنگاپور شناسایی‌شده‌اند که برخی از دسترسی‌های مخرب در جنوب شرق آسیا مشاهده‌شده‌اند.

بیشتر بخوانید