🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
اقرأ المزيد
الفئة:
ذكاء البرامج الضارة
النوع/العائلة:
البرامج الضارة للسارق
الصناعة:
متعدد
المنطقة:
عالمي
كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر اكتشف منشورًا يشير إلى برنامج Bandit Stealer الضار في منتدى سري يتحدث الروسية حيث أكد ممثل التهديد ذلك.
اكتشف باحثو CloudSek مؤخرًا ما لا يقل عن 14 عنوان IP يخدم لوحة الويب Bandit Stealer، وقد تعطل معظمها في غضون 24 ساعة. تم تشغيل جميع عناوين IP هذه على المنفذ 8080.
حدد مصدرنا بعض نقاط نهاية موقع الويب التي سمحت بالوصول إلى النظام الداخلي للموقع دون إدخال بيانات الاعتماد بسبب التكوين الخاطئ على موقع الويب.
لا يمكن ملاحظة أي شيء مهم بشكل خاص على لوحة القيادة باستثناء قائمة الخيارات مثل باني و النتائج.
تعرض صفحة Builder خيارات إنشاء نسخة مخصصة من برامج Bandit Stealer الضارة. وفي عملية السرقة، تستخدم الجهات الفاعلة في مجال التهديد العناصر الرئيسية لتنفيذ أنشطتها:
كانت إحدى نقاط النهاية المكتشفة /يبني التي تحتوي على كل أدوات إنشاء Bandit Stealer التي تم إنشاؤها حتى الآن بواسطة هذه اللوحة بالذات. تمكن مصدرنا من الحصول عليها لمزيد من التحليل.
بعد ذلك، كانت نقطة النهاية الأخرى المحددة /العملاء مع مثيلات متعددة من البيانات التي يحتمل أن يتم تسريبها من عناوين IP متعددة في JSON. في JSON، يتكون اسم الملف من الأهداف رمز البلد + عنوان IP العام، تليها بحجم والتسلل التاريخ والوقت. بينما يؤكد تحليلنا البيانات التي سيتم إرسالها إلى روبوت Telegram، لكننا نفترض أن البرامج الضارة من المحتمل أن تحتفظ أيضًا بنسخة من البيانات التي تم تسريبها في لوحة الويب الخاصة بها.
كان مصدرنا قادرًا على تصفية سجلات السارق من لوحة الويب الخاصة بهم للتحليل. كان أحد ملفات السجل من جهاز الاختبار مع الكثير من لقطات الشاشة التي ربما استخدموها لاختبار البرامج الضارة. تُظهر لقطة الشاشة عملية قتل أدوات مكافحة الانعكاس باستخدام موجه الأوامر. تعرض لقطة الشاشة الأخرى نفس العملية باستخدام PowerShell. نظرًا لأن البرامج الضارة تتمتع بإمكانيات التقاط الشاشة، فمن المفترض أن البرامج الضارة قد التقطت لقطات الشاشة هذه أثناء الإصابة (على الأرجح على جهاز الاختبار).
لقطة شاشة أخرى تكشف عن استخدامات روبوت Telegram في البرامج الضارة السارقة كقناة اتصال C2.
يتم توزيع البرامج الضارة من خلال مقاطع فيديو YouTube وهي آلية شائعة لتوصيل البرامج الضارة بين الجهات الفاعلة في مجال التهديد. في تقريرنا السابق، أبرزنا أنه منذ نوفمبر 2022، كانت هناك زيادة بنسبة 200-300٪ شهريًا في مقاطع فيديو Youtube التي تحتوي على روابط لبرامج ضارة تسرق مثل Vidar و RedLine و Raccoon في أوصافها.
يعرض Bandit Stealer، وهو شكل تم اكتشافه حديثًا من البرامج الضارة لسرقة المعلومات، إمكانات متقدمة وتقنيات مراوغة. وهي مكتوبة بلغة Go، وهي تستخدم طرقًا مختلفة للتحايل على الاكتشاف من خلال أدوات تصحيح الأخطاء وبيئات الأجهزة الافتراضية، مما يضمن بقاء عملياتها السرية غير مكتشفة.
لتجنب التحليل وإعاقة جهود الهندسة العكسية، يستخدم Bandit Stealer تكتيكات ذكية. إنه يتحقق بنشاط من وجود مصححات الأخطاء باستخدام تقنيات مثل هل مصحح الأخطاء موجود و تحقق من وجود مصحح الأخطاء عن بعد. علاوة على ذلك، فإنه يمتلك القدرة على اكتشاف بيئات الحماية، وإغلاق نفسه بسرعة إذا تم اكتشاف مثل هذه البيئات، وبالتالي تفادي محاولات التحليل. حتى أن البرامج الضارة تنهي أدوات الهندسة العكسية التي يمكن أن تتداخل مع وظائفها.
والجدير بالذكر أن Bandit Stealer لوحظ أنه ينتشر عبر مقاطع فيديو YouTube للوصول إلى عدد كبير من المستخدمين.
من أجل إثبات الثبات على الأنظمة المصابة، تقوم البرامج الضارة بإنشاء إدخال سجل التشغيل التلقائي، المسمى «Bandit Stealer». من خلال القيام بذلك، فإنه يضمن تشغيل التعليمات البرمجية الضارة في كل مرة يتم فيها تشغيل الجهاز.
تم تصميم السارق للحصول على معلومات قيمة من أجهزة الكمبيوتر والمستخدمين. يقوم بجمع البيانات بشكل سري مثل تفاصيل الكمبيوتر والمستخدم ولقطات الشاشة وتحديد الموقع الجغرافي ومعلومات IP وصور كاميرا الويب والبيانات من المتصفحات الشائعة وتطبيقات FTP والمحافظ الرقمية. يتم بعد ذلك إرسال البيانات المسروقة إلى روبوت Telegram الآمن، ويتم تعبئته في ملف ZIP لسهولة النقل.
يستخدم Stealer قائمة سوداء منظمة تم الحصول عليها من عنوان URL خارجي، وفي بعض الحالات عنوان URL لـ Pastebin، ويقوم بتخزينها في C:\Users\USERNAME\AppData\Roaming\blacklist.txt ويتم حذف الملف بمجرد انتهاء السارق من التنفيذ. تلعب هذه القائمة السوداء دورًا مهمًا في تحديد ما إذا كان Stealer يعمل داخل صندوق حماية أو بيئة افتراضية أو على نظام فعلي. بالإضافة إلى ذلك، فإنه يساعد في تحديد العمليات المحددة والأدوات العكسية التي يهدف السارق إلى إنهائها من أجل إحباط أي تحليل محتمل أو محاولات الهندسة العكسية.
وفقًا لبحثنا مفتوح المصدر، يبدو أن Bandit Stealer يستخدم نسخة متطابقة من»blacklist.txt«ملف من مشروع برنامج ضار سارق مفتوح المصدر يسمى إمبيريان متاح على جيثب.
يسرق Bandit بيانات متصفح الويب التي تتضمن سرقة معلومات تسجيل الدخول المحفوظة وملفات تعريف الارتباط المهمة وسجل التصفح وتفاصيل بطاقة الائتمان الحساسة المخزنة في ملف تعريف مستخدم المتصفح.
في ما يلي مثال على ملفات تعريف الارتباط التي تم التقاطها بواسطة Bandit Stealer.
يتم بعد ذلك تجميع البيانات التي تم جمعها في ملف ZIP ثم يتم سحبها إلى خادم C2 الذي يشير إلى خادم Telegram (149.154.167.220).