هشدار: بدافزار Saint Bot، سارق جدید رمزهای کاربران
اخبار داغ فناوری اطلاعات و امنیت شبکهیک بدافزار دانلودر که پیش از این شناسایی نشده بود، و اقدام به حملات فیشینگ برای سرقت گواهی های کاربران و بارگیری سایر داده های مخرب میکند، به تازگی مشاهده شده است.
گفته می شود این بدافزار که "Saint Bot" نامیده می شود برای اولین بار در ژانویه 2021 وارد عمل شده و نشانه هایی از توسعه و بهینه سازی عملکرد مخرب آن نیز دیده شده است.
طبق گفته الکساندرا دونیک، تحلیلگر اطلاعات در مالوربایتز، "Saint Bot دانلود کننده ای است که به تازگی ظاهر شده و به آرامی روند رو به رشدی به خود گرفته است. همچنین دیده شده است که از طریق سرقت کنندگان اطلاعات (به عنوان مثال تائوروس استیلر) یا دیگر لودرها منتشر می شود، اما طراحی آن به شما امکان آن را می دهد که از آن برای توزیع و نشر هر نوع بدافزاری استفاده شود.
وی افزوده است: "علاوه بر اینها، Saint Bot از طیف گسترده ای از تکنیک هایی که هرچند بعضی از آنها بدیع نیستند، استفاده می کند؛ اما با توجه به ظاهر نسبتاً جدید آن، از سطح کارایی بالایی برخوردار است".
زنجیره آلودگی مورد تجزیه و تحلیل شرکت امنیتی سایبری با یک ایمیل فیشینگ حاوی یک فایل زیپ تعبیه شده ( با نام bitcoin.zip) که ادعا میکند کیف پول بیت کوین است، آغاز شده است. در حقیقت یک اسکریپت PowerShell است که تحت عنوان فایل میانبر .LNK قرار دارد. سپس این اسکریپت PowerShell بدافزار مرحله بعدی را که یک برنامه قابل اجرا با نام WindowsUpdate.exe است را بارگیری می کند، که به متعاقب خود باعث می شود دومین فایل قابل اجرا (InstallUtil.exe) که مسئولیت دانلود دو فایل اجرایی دیگر به نام های def.exe و putty.exe را بر عهده دارد، انجام بپذیرد.
در حالی که نسخه اول یک اسکریپت دسته ای است که مسئول غیرفعال کردن Windows Defender است، putty.exe حاوی حجم داده ای مخربی است که در نهایت به یک سرور command-and-control (C2) جهت بهره برداری اطلاعاتی بیشتر، متصل می شود.
سردرگمی و در هم پیچیدگی موجود در هر مرحله از آلودگی به بدافزار، همراه با تکنیک های ممانعت کننده از تجزیه، تحلیل و آنالیز توسط بدافزار، به اپراتورهای بدافزار امکان می دهد بدون جلب هرگونه توجه، از دستگاه هایی که این بدافزار روی آنها نصب شده است سوءاستفاده کنند.
علاوه بر انجام "بررسی های دفاع از خود" برای شناسایی وجود debugger یا یک محیط مجازی، Saint Bot به شکلی طراحی شده است که در رومانی و کشورهای مشترک المنافع (CIS)، شامل ارمنستان، بلاروس، قزاقستان، مولداوی، روسیه و اوکراین اجرا نشود.
لیست دستورات پشتیبانی شده توسط بدافزار شامل موارد زیر میباشد:
- بارگیری و اجرای سایر داده های بازیابی شده از سرور C2
- به روزرسانی بدافزار بات
- حذف نصب بدافزار از دستگاه در معرض خطر
اگرچه این قابلیت ها بسیار کوچک به نظر می رسند، اما واقعیت این که Saint Bot به عنوان دانلود کننده سایر بدافزارها عمل می کند که طبیعتا آن را به اندازه کافی خطرناک می کند.
نکته جالب توجه اینکه داده های دریافتی، خود از فایل های میزبانی شده در Discord دریافت می شوند؛ در این تاکتیک که به طور فزاینده ای در میان مهاجمین سایبری و تهدیدکنندگان رایج شده است، از عملکردهای قانونی چنین سیستم عامل هایی برای ارتباطات C2 سوءاستفاده کرده، از محدودیت های امنیتی فرار می کنند و بدافزارها را وارد دستگاه مینمایند.
محققان از سیسکو تالوس در تحیلی در اوایل این هفته منتشر کردند اعلام نمودند: "وقتی فایل ها در Discord CDN بارگذاری و ذخیره می شوند، بدون نیاز به اینکه Discord نصب شده باشد یا خیر، می توان با استفاده از آدرس CDN کدگذاری شده توسط هر سیستم، به آنها دسترسی پیدا کرد". که این موضوع به طبع نرم افزارهایی مانند Discord و Slack را به اهدافی جذاب برای میزبانی محتواهای مخرب تبدیل کرده است.
الکساندرا دونیک اضافه کرد: "Saint Bot در اصل یک دانلود کننده دیگری است و به حد و اندازه SmokeLoader به تکامل نرسیده، اما کاملاً جدید است و در حال حاضر به طور فعال در حال توسعه میباشد. به نظر می رسد برنامه نویس آن از طراحی بدافزار آگاهی کامل دارد، که این نکته با مشاهده طیف گسترده ای از تکنیک های به کار رفته قابل درک است. با این حال، تمام تکنیک های به کار رفته کاملاً شناخته شده و کاملاً استاندارد هستند و تاکنون خلاقیت زیادی از نشان نداده است".
برچسب ها: بات, Downloader, Slack, CDN, Discord, PowerShell, Malware Bot, Saint Bot, cybersecurity, malware, بدافزار, امنیت سایبری