🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
اقرأ المزيد
قم بمراقبة البرامج الضارة والدفاع عنها بشكل استباقي باستخدام وحدة CloudSek xvigil Malware Logs، مما يضمن سلامة أصولك الرقمية
Schedule a Demoالفئة:
ذكاء البرامج الضارة
النوع/العائلة:
البرامج الضارة للسارق
الصناعة:
متعدد
المنطقة:
عالمي
كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر اكتشف منشورًا يشير إلى برنامج Bandit Stealer الضار في منتدى سري يتحدث الروسية حيث أكد ممثل التهديد ذلك.
اكتشف باحثو CloudSek مؤخرًا ما لا يقل عن 14 عنوان IP يخدم لوحة الويب Bandit Stealer، وقد تعطل معظمها في غضون 24 ساعة. تم تشغيل جميع عناوين IP هذه على المنفذ 8080.
حدد مصدرنا بعض نقاط نهاية موقع الويب التي سمحت بالوصول إلى النظام الداخلي للموقع دون إدخال بيانات الاعتماد بسبب التكوين الخاطئ على موقع الويب.
لا يمكن ملاحظة أي شيء مهم بشكل خاص على لوحة القيادة باستثناء قائمة الخيارات مثل باني و النتائج.
تعرض صفحة Builder خيارات إنشاء نسخة مخصصة من برامج Bandit Stealer الضارة. وفي عملية السرقة، تستخدم الجهات الفاعلة في مجال التهديد العناصر الرئيسية لتنفيذ أنشطتها:
كانت إحدى نقاط النهاية المكتشفة /يبني التي تحتوي على كل أدوات إنشاء Bandit Stealer التي تم إنشاؤها حتى الآن بواسطة هذه اللوحة بالذات. تمكن مصدرنا من الحصول عليها لمزيد من التحليل.
بعد ذلك، كانت نقطة النهاية الأخرى المحددة /العملاء مع مثيلات متعددة من البيانات التي يحتمل أن يتم تسريبها من عناوين IP متعددة في JSON. في JSON، يتكون اسم الملف من الأهداف رمز البلد + عنوان IP العام، تليها بحجم والتسلل التاريخ والوقت. بينما يؤكد تحليلنا البيانات التي سيتم إرسالها إلى روبوت Telegram، لكننا نفترض أن البرامج الضارة من المحتمل أن تحتفظ أيضًا بنسخة من البيانات التي تم تسريبها في لوحة الويب الخاصة بها.
كان مصدرنا قادرًا على تصفية سجلات السارق من لوحة الويب الخاصة بهم للتحليل. كان أحد ملفات السجل من جهاز الاختبار مع الكثير من لقطات الشاشة التي ربما استخدموها لاختبار البرامج الضارة. تُظهر لقطة الشاشة عملية قتل أدوات مكافحة الانعكاس باستخدام موجه الأوامر. تعرض لقطة الشاشة الأخرى نفس العملية باستخدام PowerShell. نظرًا لأن البرامج الضارة تتمتع بإمكانيات التقاط الشاشة، فمن المفترض أن البرامج الضارة قد التقطت لقطات الشاشة هذه أثناء الإصابة (على الأرجح على جهاز الاختبار).
لقطة شاشة أخرى تكشف عن استخدامات روبوت Telegram في البرامج الضارة السارقة كقناة اتصال C2.
يتم توزيع البرامج الضارة من خلال مقاطع فيديو YouTube وهي آلية شائعة لتوصيل البرامج الضارة بين الجهات الفاعلة في مجال التهديد. في تقريرنا السابق، أبرزنا أنه منذ نوفمبر 2022، كانت هناك زيادة بنسبة 200-300٪ شهريًا في مقاطع فيديو Youtube التي تحتوي على روابط لبرامج ضارة تسرق مثل Vidar و RedLine و Raccoon في أوصافها.
يعرض Bandit Stealer، وهو شكل تم اكتشافه حديثًا من البرامج الضارة لسرقة المعلومات، إمكانات متقدمة وتقنيات مراوغة. وهي مكتوبة بلغة Go، وهي تستخدم طرقًا مختلفة للتحايل على الاكتشاف من خلال أدوات تصحيح الأخطاء وبيئات الأجهزة الافتراضية، مما يضمن بقاء عملياتها السرية غير مكتشفة.
لتجنب التحليل وإعاقة جهود الهندسة العكسية، يستخدم Bandit Stealer تكتيكات ذكية. إنه يتحقق بنشاط من وجود مصححات الأخطاء باستخدام تقنيات مثل هل مصحح الأخطاء موجود و تحقق من وجود مصحح الأخطاء عن بعد. علاوة على ذلك، فإنه يمتلك القدرة على اكتشاف بيئات الحماية، وإغلاق نفسه بسرعة إذا تم اكتشاف مثل هذه البيئات، وبالتالي تفادي محاولات التحليل. حتى أن البرامج الضارة تنهي أدوات الهندسة العكسية التي يمكن أن تتداخل مع وظائفها.
والجدير بالذكر أن Bandit Stealer لوحظ أنه ينتشر عبر مقاطع فيديو YouTube للوصول إلى عدد كبير من المستخدمين.
من أجل إثبات الثبات على الأنظمة المصابة، تقوم البرامج الضارة بإنشاء إدخال سجل التشغيل التلقائي، المسمى «Bandit Stealer». من خلال القيام بذلك، فإنه يضمن تشغيل التعليمات البرمجية الضارة في كل مرة يتم فيها تشغيل الجهاز.
تم تصميم السارق للحصول على معلومات قيمة من أجهزة الكمبيوتر والمستخدمين. يقوم بجمع البيانات بشكل سري مثل تفاصيل الكمبيوتر والمستخدم ولقطات الشاشة وتحديد الموقع الجغرافي ومعلومات IP وصور كاميرا الويب والبيانات من المتصفحات الشائعة وتطبيقات FTP والمحافظ الرقمية. يتم بعد ذلك إرسال البيانات المسروقة إلى روبوت Telegram الآمن، ويتم تعبئته في ملف ZIP لسهولة النقل.
يستخدم Stealer قائمة سوداء منظمة تم الحصول عليها من عنوان URL خارجي، وفي بعض الحالات عنوان URL لـ Pastebin، ويقوم بتخزينها في C:\Users\USERNAME\AppData\Roaming\blacklist.txt ويتم حذف الملف بمجرد انتهاء السارق من التنفيذ. تلعب هذه القائمة السوداء دورًا مهمًا في تحديد ما إذا كان Stealer يعمل داخل صندوق حماية أو بيئة افتراضية أو على نظام فعلي. بالإضافة إلى ذلك، فإنه يساعد في تحديد العمليات المحددة والأدوات العكسية التي يهدف السارق إلى إنهائها من أجل إحباط أي تحليل محتمل أو محاولات الهندسة العكسية.
وفقًا لبحثنا مفتوح المصدر، يبدو أن Bandit Stealer يستخدم نسخة متطابقة من»blacklist.txt«ملف من مشروع برنامج ضار سارق مفتوح المصدر يسمى إمبيريان متاح على جيثب.
يسرق Bandit بيانات متصفح الويب التي تتضمن سرقة معلومات تسجيل الدخول المحفوظة وملفات تعريف الارتباط المهمة وسجل التصفح وتفاصيل بطاقة الائتمان الحساسة المخزنة في ملف تعريف مستخدم المتصفح.
في ما يلي مثال على ملفات تعريف الارتباط التي تم التقاطها بواسطة Bandit Stealer.
يتم بعد ذلك تجميع البيانات التي تم جمعها في ملف ZIP ثم يتم سحبها إلى خادم C2 الذي يشير إلى خادم Telegram (149.154.167.220).
وقد أنشأ فريق TRIAD التابع لشركة CloudSek هذا التقرير استنادًا إلى تحليل الاتجاه المتزايد لتزوير العملات المشفرة، حيث تنتحل التوكنات شخصية المنظمات الحكومية لتوفير بعض الشرعية لعمليات الاحتيال التي تقوم بها «لسحب البساط». تمت تغطية مثال على عملية الاحتيال هذه في هذا التقرير حيث قامت الجهات الفاعلة في مجال التهديد بإنشاء رمز مزيف يسمى «BRICS». يهدف هذا الرمز إلى استغلال التركيز على قمة البريك التي عقدت في قازان، روسيا، والاهتمام المتزايد بالاستثمارات والتوسع في منظمة بريركس الحكومية التي تضم دولًا مختلفة (البرازيل وروسيا والهند والصين وجنوب إفريقيا ومصر وإثيوبيا وإيران والإمارات العربية المتحدة)
يسلط هذا التقرير الاستشاري الضوء على الهجمات الأخيرة على البنوك الهندية، مع التركيز على اثنين من العوامل الرئيسية للهجوم: التوترات الجيوسياسية وسرقة أوراق الاعتماد وعمليات الاستحواذ على حسابات وسائل التواصل الاجتماعي.
في إندونيسيا، يستخدم المحتالون روبوتات Telegram لانتحال هوية العلامات التجارية للمحفظة الرقمية، والترويج لمخططات مكافآت الإحالة المزيفة. تخدع عمليات الاحتيال هذه المستخدمين لمشاركة تفاصيل حساباتهم، مما يؤدي إلى خسائر مالية كبيرة. اكتشف التفاصيل الكاملة وإجراءات الحماية في تقرير مدونة CloudSek الشامل.
Take action now
CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.
Digital Risk Protection platform which gives Initial Attack Vector Protection for employees and customers.
Software and Supply chain Monitoring providing Initial Attack Vector Protection for Software Supply Chain risks.
Creates a blueprint of an organization's external attack surface including the core infrastructure and the software components.
Instant Security Score for any Android Mobile App on your phone. Search for any app to get an instant risk score.