۱۳۹۸-۰۶-۲۳ ۱۱:۴۵
تنظیم اندازه قلم

پ

۲:۱۹
اخبار امنیت فناوری

بدافزارInnfiRAT در کمین داده‌های کیف پول رمزنگاری شده در دستگاه شما

محققان یک تروجان جدید را که در سرقت داده‌های مربوط به رمزنگاری تخصص دارد، مستند کرده‌اند. این بدافزار که به InnfiRAT نامگذاری شده است، بسیاری از قابلیت‌های استاندارد Trojan را در خود جای داده است اما در جستجوی اعتبار کیف پول cryptocurrency به طور خاص در سیستم‌های آلوده کمین می‌کند. تروجان جدید همچنین اطلاعات را از نشست‌های مرورگر باز نیز جمع آوری می‌کند.

در یک پست وبلاگ، شرکت امنیت سایبری zScaler گفت: InnfiRAT نوشته شده درNET.‎ به احتمال زیاد از طریق ایمیل‌های فیشینگ حاوی فایل پیوست مخرب یا دانلود فایل‌ها در درایو پخش می‌شوند.
این بدافزار به محض اینکه روی دستگاه آسیب پذیر قرار می‌گیرد، قبل از نوشتن یک فایل PE رمزگذاری شده Base64 در حافظه، یک کپی از خود تهیه می‌کند و آن را در مسیر AppData مخفی می‌کند تا عملکرد اصلی Trojan را انجام دهد.
InnfiRAT ابتدا به دنبال شاخص‌هایی از یک sandbox environment است، یک ترتیب مشترک که توسط محققان امنیت سایبری هنگام مهندسی معکوس نمونه‌های بدافزار استفاده می‌شود. در صورت یافتن، بدافزار خاتمه می‌یابد. در غیر این صورت، بازپرداخت همچنان به اجرای خود ادامه می‌دهد. داده‌های سیستم از جمله کشور دستگاه، نوع پردازنده، فروشنده رایانه شخصی، نام و اندازه حافظه پنهان سرقت می‌شوند. سپس InnfiRAT با سرور کنترل (C2) خود تماس خواهد گرفت و اطلاعات دستگاه دزدیده شده را منتقل کرده و منتظر دستورالعمل‌های بیشتر خواهد بود. از جمله این دستورالعمل‌ها، دستورالعمل به دست آوردن لیستی از کلیه فرآیندهای در حال اجرا در یک سیستم آلوده، از جمله مواردی است که رشته‌های "کروم"، "مرورگر"، "فایرفاکس" و "اپرا" دارند. این بدافزار هر مطابقت را خاتمه می‌دهد.

https-_blueprint-api-production.s3.amazonaws.com_uploads_card_image_489504_39b30eab-35c2-4f06-92b8-13c09bea08b7-w600.jpg
InnfiRAT می‌تواند بارهای پرداخت مخرب اضافی، سرقت پرونده‌ها و گرفتن کوکی‌های مرورگر را برای برداشت نام کاربری و رمز ورود اعتبار خود برای خدمات آنلاین به کار گیرد. علاوه بر این، Trojan می‌تواند از نشست‌های باز اسکرین شات بگیرد و فرآیندهای سنتی ضد ویروس را خاموش کند.
در تلاش برای رمزنگاری، InnfiRAT اطلاعات مربوط به cryptocurrency از جمله Bitcoin ‪(BTC)‬ و Litecoin ‪(LTC)‬ را اسکن می‌کند.
با چک کردن کیف پول %AppData%\Litecoin\wallet.dat و %AppData%\Bitcoin\wallet.dat در صورت وجود، این بدافزار داده‌های موجود را که می‌تواند برای به خطر انداختن کیف پول‌ها و سرقت بودجه مجازی مورد استفاده قرار گیرد، به صدا در می‌آورد.
Cryptocurrency یک کانال سودآور برای مجرمان سایبری برای تولید سود غیرقانونی است و InnfiRAT تنها یکی از اشکال بسیاری از بدافزارها است که در حال حاضر شامل سرقت‌های مربوط به رمزنگاری یا بهره برداری از ماژول‌ها است.
PsiXBot اخیراً به روز شده است تا DNS گوگل را بر روی سرویس HTTPS بگنجاند و یک بار در یک دستگاه هدف، کلیپ بورد را برای اعتبار کیف پول استفاده شده برای ذخیره سازی بیت کوین، اتریوم، مونرو و ریپل نظارت خواهد کرد.
یکی دیگر از اشکال‌های جالب بدافزارهای رمزنگاری شده موسوم به Bird Miner، لینوکس را در دستگاه‌های Mac هنگام اجرای XMRig شبیه سازی می‌کند. این بدافزار قدرت پردازنده قربانیان را برای پنهان کردن ماین Monero ‪(XMR)‬ استفاده می‌کند و درآمد حاصل از آن را به کیف پول‌هایی که توسط اپراتورهای آن کنترل می‌شوند می‌فرستد.

کلمات کلیدی :

افزودن دیدگاه جدید

700X100.gif

اخبار مرتبط