🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي

اختراق البنية التحتية للبرامج الضارة الخاصة بـ Bandit Stealer

اكتشف باحثو التهديدات في CloudSek لوحة ويب جديدة للبرامج الضارة Bandit Stealer في 06 يوليو 2023، مع 14 حالة نشطة على الأقل.

Bablu Kumar
July 11, 2023
Green Alert
Last Update posted on
August 21, 2025
المراقبة الاستباقية للويب المظلم لمؤسستك

قم بمراقبة البرامج الضارة والدفاع عنها بشكل استباقي باستخدام وحدة CloudSek xvigil Malware Logs، مما يضمن سلامة أصولك الرقمية

Schedule a Demo
Table of Contents
Author(s)
No items found.

الفئة:

ذكاء البرامج الضارة

النوع/العائلة:

البرامج الضارة للسارق

الصناعة:

متعدد

المنطقة:

عالمي

ملخص تنفيذي

  • في 6 يوليو 2023، عثر باحثو التهديدات في CloudSek على لوحة ويب لبرنامج Bandit Stealer الجديد نسبيًا.
  • تمت كتابة البرامج الضارة بلغة برمجة Go.
  • وجدنا ما لا يقل عن 14 مثيلاً من لوحات الويب Bandit Stealer التي كانت نشطة مؤخرًا.
  • يتم توزيع البرامج الضارة من خلال مقاطع فيديو YouTube.
  • يقوم السارق بجمع البيانات مثل تفاصيل الكمبيوتر والمستخدم ولقطات الشاشة وتحديد الموقع الجغرافي ومعلومات IP وصور كاميرا الويب والبيانات من المتصفحات الشائعة وتطبيقات FTP والمحافظ الرقمية.
  • يستهدف السارق أكثر من 25 محفظة للعملات المشفرة و 17 متصفح ويب.
  • يتم بعد ذلك إرسال البيانات المسروقة إلى روبوت Telegram الآمن، ويتم تعبئته في ملف ZIP لسهولة النقل.

التحليل والإسناد

كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر اكتشف منشورًا يشير إلى برنامج Bandit Stealer الضار في منتدى سري يتحدث الروسية حيث أكد ممثل التهديد ذلك.

اكتشف باحثو CloudSek مؤخرًا ما لا يقل عن 14 عنوان IP يخدم لوحة الويب Bandit Stealer، وقد تعطل معظمها في غضون 24 ساعة. تم تشغيل جميع عناوين IP هذه على المنفذ 8080.

النتائج من URLScan.io

تحليل لوحة الويب الخاصة بـ Bandit

حدد مصدرنا بعض نقاط نهاية موقع الويب التي سمحت بالوصول إلى النظام الداخلي للموقع دون إدخال بيانات الاعتماد بسبب التكوين الخاطئ على موقع الويب.

صفحة تسجيل الدخول إلى لوحة ويب Bandit Stealer

لا يمكن ملاحظة أي شيء مهم بشكل خاص على لوحة القيادة باستثناء قائمة الخيارات مثل باني و النتائج.

واجهة لوحة التحكم الخاصة بلوحة البرامج الضارة

تعرض صفحة Builder خيارات إنشاء نسخة مخصصة من برامج Bandit Stealer الضارة. وفي عملية السرقة، تستخدم الجهات الفاعلة في مجال التهديد العناصر الرئيسية لتنفيذ أنشطتها:

  • قناة الاتصال: يتم استخدام ChatID ورمز البوت وعنوان IP الخاص بالخادم لإنشاء اتصال آمن مع Telegram. يمكّن هذا الاتصال الجهات الفاعلة في مجال التهديد من تلقي البيانات التي تم تسريبها من المستخدمين المصابين، مثل بيانات الاعتماد المخترقة ولقطات الشاشة.
  • عناوين محفظة العملات المشفرة: يتم استخدام العديد من عناوين محافظ العملات المشفرة لتحويل مبالغ العملة المشفرة إلى محفظة الفاعل المهدد.
  • عنوان URL الخاص بالمحمل: يعمل عنوان URL الخاص بـ Loader كآلية لتوزيع البرامج الضارة. على سبيل المثال، في الحملات الإعلانية الخبيثة، تعمل شفرة جافا سكريبت المخفية في الخلفية وهي مسؤولة عن إسقاط ملف البرامج الضارة القابل للتنفيذ على نظام الضحية. يعد عنوان URL هذا مكونًا مهمًا في عملية الإصابة الأولية.
  • اسم الملف: يشير اسم الملف إلى الاسم المعين لملف البرامج الضارة القابل للتنفيذ. يحتوي هذا الملف على التعليمات البرمجية الضارة المسؤولة عن الإجراءات المقصودة، مثل سرقة البيانات والتسلل.
لوحة إنشاء البرامج الضارة المستخدمة لإنشاء ملف قابل للتنفيذ

كانت إحدى نقاط النهاية المكتشفة /يبني التي تحتوي على كل أدوات إنشاء Bandit Stealer التي تم إنشاؤها حتى الآن بواسطة هذه اللوحة بالذات. تمكن مصدرنا من الحصول عليها لمزيد من التحليل.

بعد ذلك، كانت نقطة النهاية الأخرى المحددة /العملاء مع مثيلات متعددة من البيانات التي يحتمل أن يتم تسريبها من عناوين IP متعددة في JSON. في JSON، يتكون اسم الملف من الأهداف رمز البلد + عنوان IP العام، تليها بحجم والتسلل التاريخ والوقت. بينما يؤكد تحليلنا البيانات التي سيتم إرسالها إلى روبوت Telegram، لكننا نفترض أن البرامج الضارة من المحتمل أن تحتفظ أيضًا بنسخة من البيانات التي تم تسريبها في لوحة الويب الخاصة بها.

تحليل سجلات السارق

كان مصدرنا قادرًا على تصفية سجلات السارق من لوحة الويب الخاصة بهم للتحليل. كان أحد ملفات السجل من جهاز الاختبار مع الكثير من لقطات الشاشة التي ربما استخدموها لاختبار البرامج الضارة. تُظهر لقطة الشاشة عملية قتل أدوات مكافحة الانعكاس باستخدام موجه الأوامر. تعرض لقطة الشاشة الأخرى نفس العملية باستخدام PowerShell. نظرًا لأن البرامج الضارة تتمتع بإمكانيات التقاط الشاشة، فمن المفترض أن البرامج الضارة قد التقطت لقطات الشاشة هذه أثناء الإصابة (على الأرجح على جهاز الاختبار).

عملية قتل الأدوات المضادة للانعكاس

لقطة شاشة أخرى تكشف عن استخدامات روبوت Telegram في البرامج الضارة السارقة كقناة اتصال C2.

استخدام بوت تيليجرام لخوادم C2

آلية تسليم البرامج الضارة

يتم توزيع البرامج الضارة من خلال مقاطع فيديو YouTube وهي آلية شائعة لتوصيل البرامج الضارة بين الجهات الفاعلة في مجال التهديد. في تقريرنا السابق، أبرزنا أنه منذ نوفمبر 2022، كانت هناك زيادة بنسبة 200-300٪ شهريًا في مقاطع فيديو Youtube التي تحتوي على روابط لبرامج ضارة تسرق مثل Vidar و RedLine و Raccoon في أوصافها.

التحليل الفني

يعرض Bandit Stealer، وهو شكل تم اكتشافه حديثًا من البرامج الضارة لسرقة المعلومات، إمكانات متقدمة وتقنيات مراوغة. وهي مكتوبة بلغة Go، وهي تستخدم طرقًا مختلفة للتحايل على الاكتشاف من خلال أدوات تصحيح الأخطاء وبيئات الأجهزة الافتراضية، مما يضمن بقاء عملياتها السرية غير مكتشفة.

لتجنب التحليل وإعاقة جهود الهندسة العكسية، يستخدم Bandit Stealer تكتيكات ذكية. إنه يتحقق بنشاط من وجود مصححات الأخطاء باستخدام تقنيات مثل هل مصحح الأخطاء موجود و تحقق من وجود مصحح الأخطاء عن بعد. علاوة على ذلك، فإنه يمتلك القدرة على اكتشاف بيئات الحماية، وإغلاق نفسه بسرعة إذا تم اكتشاف مثل هذه البيئات، وبالتالي تفادي محاولات التحليل. حتى أن البرامج الضارة تنهي أدوات الهندسة العكسية التي يمكن أن تتداخل مع وظائفها.

والجدير بالذكر أن Bandit Stealer لوحظ أنه ينتشر عبر مقاطع فيديو YouTube للوصول إلى عدد كبير من المستخدمين.

من أجل إثبات الثبات على الأنظمة المصابة، تقوم البرامج الضارة بإنشاء إدخال سجل التشغيل التلقائي، المسمى «Bandit Stealer». من خلال القيام بذلك، فإنه يضمن تشغيل التعليمات البرمجية الضارة في كل مرة يتم فيها تشغيل الجهاز.

معلومات الكمبيوتر الشخصي والمستخدم وعنوان IP التي تم جمعها

تم تصميم السارق للحصول على معلومات قيمة من أجهزة الكمبيوتر والمستخدمين. يقوم بجمع البيانات بشكل سري مثل تفاصيل الكمبيوتر والمستخدم ولقطات الشاشة وتحديد الموقع الجغرافي ومعلومات IP وصور كاميرا الويب والبيانات من المتصفحات الشائعة وتطبيقات FTP والمحافظ الرقمية. يتم بعد ذلك إرسال البيانات المسروقة إلى روبوت Telegram الآمن، ويتم تعبئته في ملف ZIP لسهولة النقل.

يستخدم Stealer قائمة سوداء منظمة تم الحصول عليها من عنوان URL خارجي، وفي بعض الحالات عنوان URL لـ Pastebin، ويقوم بتخزينها في C:\Users\USERNAME\AppData\Roaming\blacklist.txt ويتم حذف الملف بمجرد انتهاء السارق من التنفيذ. تلعب هذه القائمة السوداء دورًا مهمًا في تحديد ما إذا كان Stealer يعمل داخل صندوق حماية أو بيئة افتراضية أو على نظام فعلي. بالإضافة إلى ذلك، فإنه يساعد في تحديد العمليات المحددة والأدوات العكسية التي يهدف السارق إلى إنهائها من أجل إحباط أي تحليل محتمل أو محاولات الهندسة العكسية.

عناوين IP المدرجة في القائمة السوداء:

عناوين Mac المدرجة في القائمة السوداء:

قائمة HWIDs المدرجة في القائمة السوداء:

أسماء مستخدمي الكمبيوتر وأسماء المستخدمين المدرجين في القائمة السوداء:

إنهاء الأدوات العكسية

Blacklisted Processes

httpdebuggerui

wireshark

fiddler

regedit

cmd

taskmgr

vboxservice

df5serv

processhacker

vboxtray

vmtoolsd

vmwaretray

ida64

ollydbg

pestudio

vmwareuser

vgauthservice

vmacthlp

x96dbg

vmsrvc

x32dbg

vmusrvc

prl_cc

prl_tools

xenservice

qemu-ga

joeboxcontrol

ksdumperclient

ksdumper

joeboxserver

وفقًا لبحثنا مفتوح المصدر، يبدو أن Bandit Stealer يستخدم نسخة متطابقة من»blacklist.txt«ملف من مشروع برنامج ضار سارق مفتوح المصدر يسمى إمبيريان متاح على جيثب.

blacklist.txt متطابق - جزء من برنامج ضار سارق مفتوح المصدر على Github

سرقة المعلومات واتصالات خادم C2

يسرق Bandit بيانات متصفح الويب التي تتضمن سرقة معلومات تسجيل الدخول المحفوظة وملفات تعريف الارتباط المهمة وسجل التصفح وتفاصيل بطاقة الائتمان الحساسة المخزنة في ملف تعريف مستخدم المتصفح.



List of Target Browsers

Chrome Browser

Iridium Browser

7Star Browser

Vivaldi Browser

Yandex Chrome

Orbitum

Orbitum

uCozMedia

Microsoft Edge

Torch Web Browser

Kometa Browser

CentBrowser

BraveSoftware

Amigo Browser

Epic Privacy Browser

SeaMonkey browser

QupZilla


The malware also targets a large list of digital cryptocurrency wallets.


List of Cryptocurrency Wallets

Coinbase wallet extension

Saturn Wallet extension

MetaMask extension

Bither Bitcoin wallet

Binance chain wallet extension

Coin98 Wallet

ronin wallet extension

multidoge coin

TronLink Wallet

multibit Bitcoin

Kardiachain wallet extension

LiteCoin

Terra Station

Electron Cash

Jaxx liberty Wallet

Dash Wallet

Guildwallet extension

Electrum-btcp

Math Wallet extension

Ethereum

Bitpay wallet extension

Exodus

Nifty Wallet extension

Atomic

Armory

Bytecoin Wallet

Coinomi wallet

Monero wallet

dogecoin


في ما يلي مثال على ملفات تعريف الارتباط التي تم التقاطها بواسطة Bandit Stealer.

سرقة ملفات تعريف الارتباط للمتصفح من قبل Bandit Stealer

يتم بعد ذلك تجميع البيانات التي تم جمعها في ملف ZIP ثم يتم سحبها إلى خادم C2 الذي يشير إلى خادم Telegram (149.154.167.220).

تسريب البيانات إلى خادم C2 التابع لـ Telegram (149.154.167.220)

التأثير

  • يمكن استخدام بيانات الاعتماد المكشوفة من قبل الجهات الفاعلة في مجال التهديد للوصول إلى المعلومات الشخصية للمستخدم والشبكات الداخلية وسرقة الملفات والمعلومات الحساسة.
  • يمكن بيع أوراق الاعتماد المسروقة في المنتديات السرية، مما يجعلها متاحة للجمهور والمنافسين والجهات الفاعلة الأخرى في مجال التهديد.
  • يمكن أن تؤدي الهجمات وتسريب المعلومات الحساسة إلى فقدان الضحية للبيانات والإيرادات والسمعة.

مؤشرات التسوية (IOCs)

MD5 Hash

70d438da62ea90922e547a1b74d035fd

821254918e64b58040504dbb70e6f925

97c68096b23a9cb9f27598f945bcf6d0

IPv4

149.154.167.220

URL

https://www.youtube.com/watch?v=mUp2_ht8RhE


المراجع

الملحق

لقطة شاشة لسجلات السارق التي جمعتها Bandit

Empyrean - برنامج ضار سارق مفتوح المصدر مكتوب بلغة Python

Author

Bablu Kumar

Bablu is a technology writer and an analyst with a strong focus on all things cybersecurity

Predict Cyber threats against your organization

Related Posts
Blog Image
October 25, 2024

سحب البساط من Brics-bait - كيف يستخدم المحتالون المصداقية الدولية لخداع المستثمرين

وقد أنشأ فريق TRIAD التابع لشركة CloudSek هذا التقرير استنادًا إلى تحليل الاتجاه المتزايد لتزوير العملات المشفرة، حيث تنتحل التوكنات شخصية المنظمات الحكومية لتوفير بعض الشرعية لعمليات الاحتيال التي تقوم بها «لسحب البساط». تمت تغطية مثال على عملية الاحتيال هذه في هذا التقرير حيث قامت الجهات الفاعلة في مجال التهديد بإنشاء رمز مزيف يسمى «BRICS». يهدف هذا الرمز إلى استغلال التركيز على قمة البريك التي عقدت في قازان، روسيا، والاهتمام المتزايد بالاستثمارات والتوسع في منظمة بريركس الحكومية التي تضم دولًا مختلفة (البرازيل وروسيا والهند والصين وجنوب إفريقيا ومصر وإثيوبيا وإيران والإمارات العربية المتحدة)

تحذير بشأن تهديدات الأمن السيبراني: الهجمات الأخيرة التي تستهدف قطاع BFSI الهندي

يسلط هذا التقرير الاستشاري الضوء على الهجمات الأخيرة على البنوك الهندية، مع التركيز على اثنين من العوامل الرئيسية للهجوم: التوترات الجيوسياسية وسرقة أوراق الاعتماد وعمليات الاستحواذ على حسابات وسائل التواصل الاجتماعي.

تتنكر روبوتات Telegram كعلامات تجارية للمحفظة الرقمية لدفع عمليات الاحتيال المتعلقة بمكافآت الإحالة إلى العملاء الإندونيسيين

في إندونيسيا، يستخدم المحتالون روبوتات Telegram لانتحال هوية العلامات التجارية للمحفظة الرقمية، والترويج لمخططات مكافآت الإحالة المزيفة. تخدع عمليات الاحتيال هذه المستخدمين لمشاركة تفاصيل حساباتهم، مما يؤدي إلى خسائر مالية كبيرة. اكتشف التفاصيل الكاملة وإجراءات الحماية في تقرير مدونة CloudSek الشامل.

انضم إلى أكثر من 10,000 مشترك

تابع آخر الأخبار حول سلالات البرامج الضارة، وأساليب التصيد الاحتيالي،
مؤشرات التسوية وتسريب البيانات.

Take action now

Secure your organisation with our Award winning Products

CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.

ذكاء البرامج الضارة
Table of Content

الفئة:

ذكاء البرامج الضارة

النوع/العائلة:

البرامج الضارة للسارق

الصناعة:

متعدد

المنطقة:

عالمي

ملخص تنفيذي

  • في 6 يوليو 2023، عثر باحثو التهديدات في CloudSek على لوحة ويب لبرنامج Bandit Stealer الجديد نسبيًا.
  • تمت كتابة البرامج الضارة بلغة برمجة Go.
  • وجدنا ما لا يقل عن 14 مثيلاً من لوحات الويب Bandit Stealer التي كانت نشطة مؤخرًا.
  • يتم توزيع البرامج الضارة من خلال مقاطع فيديو YouTube.
  • يقوم السارق بجمع البيانات مثل تفاصيل الكمبيوتر والمستخدم ولقطات الشاشة وتحديد الموقع الجغرافي ومعلومات IP وصور كاميرا الويب والبيانات من المتصفحات الشائعة وتطبيقات FTP والمحافظ الرقمية.
  • يستهدف السارق أكثر من 25 محفظة للعملات المشفرة و 17 متصفح ويب.
  • يتم بعد ذلك إرسال البيانات المسروقة إلى روبوت Telegram الآمن، ويتم تعبئته في ملف ZIP لسهولة النقل.

التحليل والإسناد

كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر اكتشف منشورًا يشير إلى برنامج Bandit Stealer الضار في منتدى سري يتحدث الروسية حيث أكد ممثل التهديد ذلك.

اكتشف باحثو CloudSek مؤخرًا ما لا يقل عن 14 عنوان IP يخدم لوحة الويب Bandit Stealer، وقد تعطل معظمها في غضون 24 ساعة. تم تشغيل جميع عناوين IP هذه على المنفذ 8080.

النتائج من URLScan.io

تحليل لوحة الويب الخاصة بـ Bandit

حدد مصدرنا بعض نقاط نهاية موقع الويب التي سمحت بالوصول إلى النظام الداخلي للموقع دون إدخال بيانات الاعتماد بسبب التكوين الخاطئ على موقع الويب.

صفحة تسجيل الدخول إلى لوحة ويب Bandit Stealer

لا يمكن ملاحظة أي شيء مهم بشكل خاص على لوحة القيادة باستثناء قائمة الخيارات مثل باني و النتائج.

واجهة لوحة التحكم الخاصة بلوحة البرامج الضارة

تعرض صفحة Builder خيارات إنشاء نسخة مخصصة من برامج Bandit Stealer الضارة. وفي عملية السرقة، تستخدم الجهات الفاعلة في مجال التهديد العناصر الرئيسية لتنفيذ أنشطتها:

  • قناة الاتصال: يتم استخدام ChatID ورمز البوت وعنوان IP الخاص بالخادم لإنشاء اتصال آمن مع Telegram. يمكّن هذا الاتصال الجهات الفاعلة في مجال التهديد من تلقي البيانات التي تم تسريبها من المستخدمين المصابين، مثل بيانات الاعتماد المخترقة ولقطات الشاشة.
  • عناوين محفظة العملات المشفرة: يتم استخدام العديد من عناوين محافظ العملات المشفرة لتحويل مبالغ العملة المشفرة إلى محفظة الفاعل المهدد.
  • عنوان URL الخاص بالمحمل: يعمل عنوان URL الخاص بـ Loader كآلية لتوزيع البرامج الضارة. على سبيل المثال، في الحملات الإعلانية الخبيثة، تعمل شفرة جافا سكريبت المخفية في الخلفية وهي مسؤولة عن إسقاط ملف البرامج الضارة القابل للتنفيذ على نظام الضحية. يعد عنوان URL هذا مكونًا مهمًا في عملية الإصابة الأولية.
  • اسم الملف: يشير اسم الملف إلى الاسم المعين لملف البرامج الضارة القابل للتنفيذ. يحتوي هذا الملف على التعليمات البرمجية الضارة المسؤولة عن الإجراءات المقصودة، مثل سرقة البيانات والتسلل.
لوحة إنشاء البرامج الضارة المستخدمة لإنشاء ملف قابل للتنفيذ

كانت إحدى نقاط النهاية المكتشفة /يبني التي تحتوي على كل أدوات إنشاء Bandit Stealer التي تم إنشاؤها حتى الآن بواسطة هذه اللوحة بالذات. تمكن مصدرنا من الحصول عليها لمزيد من التحليل.

بعد ذلك، كانت نقطة النهاية الأخرى المحددة /العملاء مع مثيلات متعددة من البيانات التي يحتمل أن يتم تسريبها من عناوين IP متعددة في JSON. في JSON، يتكون اسم الملف من الأهداف رمز البلد + عنوان IP العام، تليها بحجم والتسلل التاريخ والوقت. بينما يؤكد تحليلنا البيانات التي سيتم إرسالها إلى روبوت Telegram، لكننا نفترض أن البرامج الضارة من المحتمل أن تحتفظ أيضًا بنسخة من البيانات التي تم تسريبها في لوحة الويب الخاصة بها.

تحليل سجلات السارق

كان مصدرنا قادرًا على تصفية سجلات السارق من لوحة الويب الخاصة بهم للتحليل. كان أحد ملفات السجل من جهاز الاختبار مع الكثير من لقطات الشاشة التي ربما استخدموها لاختبار البرامج الضارة. تُظهر لقطة الشاشة عملية قتل أدوات مكافحة الانعكاس باستخدام موجه الأوامر. تعرض لقطة الشاشة الأخرى نفس العملية باستخدام PowerShell. نظرًا لأن البرامج الضارة تتمتع بإمكانيات التقاط الشاشة، فمن المفترض أن البرامج الضارة قد التقطت لقطات الشاشة هذه أثناء الإصابة (على الأرجح على جهاز الاختبار).

عملية قتل الأدوات المضادة للانعكاس

لقطة شاشة أخرى تكشف عن استخدامات روبوت Telegram في البرامج الضارة السارقة كقناة اتصال C2.

استخدام بوت تيليجرام لخوادم C2

آلية تسليم البرامج الضارة

يتم توزيع البرامج الضارة من خلال مقاطع فيديو YouTube وهي آلية شائعة لتوصيل البرامج الضارة بين الجهات الفاعلة في مجال التهديد. في تقريرنا السابق، أبرزنا أنه منذ نوفمبر 2022، كانت هناك زيادة بنسبة 200-300٪ شهريًا في مقاطع فيديو Youtube التي تحتوي على روابط لبرامج ضارة تسرق مثل Vidar و RedLine و Raccoon في أوصافها.

التحليل الفني

يعرض Bandit Stealer، وهو شكل تم اكتشافه حديثًا من البرامج الضارة لسرقة المعلومات، إمكانات متقدمة وتقنيات مراوغة. وهي مكتوبة بلغة Go، وهي تستخدم طرقًا مختلفة للتحايل على الاكتشاف من خلال أدوات تصحيح الأخطاء وبيئات الأجهزة الافتراضية، مما يضمن بقاء عملياتها السرية غير مكتشفة.

لتجنب التحليل وإعاقة جهود الهندسة العكسية، يستخدم Bandit Stealer تكتيكات ذكية. إنه يتحقق بنشاط من وجود مصححات الأخطاء باستخدام تقنيات مثل هل مصحح الأخطاء موجود و تحقق من وجود مصحح الأخطاء عن بعد. علاوة على ذلك، فإنه يمتلك القدرة على اكتشاف بيئات الحماية، وإغلاق نفسه بسرعة إذا تم اكتشاف مثل هذه البيئات، وبالتالي تفادي محاولات التحليل. حتى أن البرامج الضارة تنهي أدوات الهندسة العكسية التي يمكن أن تتداخل مع وظائفها.

والجدير بالذكر أن Bandit Stealer لوحظ أنه ينتشر عبر مقاطع فيديو YouTube للوصول إلى عدد كبير من المستخدمين.

من أجل إثبات الثبات على الأنظمة المصابة، تقوم البرامج الضارة بإنشاء إدخال سجل التشغيل التلقائي، المسمى «Bandit Stealer». من خلال القيام بذلك، فإنه يضمن تشغيل التعليمات البرمجية الضارة في كل مرة يتم فيها تشغيل الجهاز.

معلومات الكمبيوتر الشخصي والمستخدم وعنوان IP التي تم جمعها

تم تصميم السارق للحصول على معلومات قيمة من أجهزة الكمبيوتر والمستخدمين. يقوم بجمع البيانات بشكل سري مثل تفاصيل الكمبيوتر والمستخدم ولقطات الشاشة وتحديد الموقع الجغرافي ومعلومات IP وصور كاميرا الويب والبيانات من المتصفحات الشائعة وتطبيقات FTP والمحافظ الرقمية. يتم بعد ذلك إرسال البيانات المسروقة إلى روبوت Telegram الآمن، ويتم تعبئته في ملف ZIP لسهولة النقل.

يستخدم Stealer قائمة سوداء منظمة تم الحصول عليها من عنوان URL خارجي، وفي بعض الحالات عنوان URL لـ Pastebin، ويقوم بتخزينها في C:\Users\USERNAME\AppData\Roaming\blacklist.txt ويتم حذف الملف بمجرد انتهاء السارق من التنفيذ. تلعب هذه القائمة السوداء دورًا مهمًا في تحديد ما إذا كان Stealer يعمل داخل صندوق حماية أو بيئة افتراضية أو على نظام فعلي. بالإضافة إلى ذلك، فإنه يساعد في تحديد العمليات المحددة والأدوات العكسية التي يهدف السارق إلى إنهائها من أجل إحباط أي تحليل محتمل أو محاولات الهندسة العكسية.

عناوين IP المدرجة في القائمة السوداء:

عناوين Mac المدرجة في القائمة السوداء:

قائمة HWIDs المدرجة في القائمة السوداء:

أسماء مستخدمي الكمبيوتر وأسماء المستخدمين المدرجين في القائمة السوداء:

إنهاء الأدوات العكسية

Blacklisted Processes

httpdebuggerui

wireshark

fiddler

regedit

cmd

taskmgr

vboxservice

df5serv

processhacker

vboxtray

vmtoolsd

vmwaretray

ida64

ollydbg

pestudio

vmwareuser

vgauthservice

vmacthlp

x96dbg

vmsrvc

x32dbg

vmusrvc

prl_cc

prl_tools

xenservice

qemu-ga

joeboxcontrol

ksdumperclient

ksdumper

joeboxserver

وفقًا لبحثنا مفتوح المصدر، يبدو أن Bandit Stealer يستخدم نسخة متطابقة من»blacklist.txt«ملف من مشروع برنامج ضار سارق مفتوح المصدر يسمى إمبيريان متاح على جيثب.

blacklist.txt متطابق - جزء من برنامج ضار سارق مفتوح المصدر على Github

سرقة المعلومات واتصالات خادم C2

يسرق Bandit بيانات متصفح الويب التي تتضمن سرقة معلومات تسجيل الدخول المحفوظة وملفات تعريف الارتباط المهمة وسجل التصفح وتفاصيل بطاقة الائتمان الحساسة المخزنة في ملف تعريف مستخدم المتصفح.



List of Target Browsers

Chrome Browser

Iridium Browser

7Star Browser

Vivaldi Browser

Yandex Chrome

Orbitum

Orbitum

uCozMedia

Microsoft Edge

Torch Web Browser

Kometa Browser

CentBrowser

BraveSoftware

Amigo Browser

Epic Privacy Browser

SeaMonkey browser

QupZilla


The malware also targets a large list of digital cryptocurrency wallets.


List of Cryptocurrency Wallets

Coinbase wallet extension

Saturn Wallet extension

MetaMask extension

Bither Bitcoin wallet

Binance chain wallet extension

Coin98 Wallet

ronin wallet extension

multidoge coin

TronLink Wallet

multibit Bitcoin

Kardiachain wallet extension

LiteCoin

Terra Station

Electron Cash

Jaxx liberty Wallet

Dash Wallet

Guildwallet extension

Electrum-btcp

Math Wallet extension

Ethereum

Bitpay wallet extension

Exodus

Nifty Wallet extension

Atomic

Armory

Bytecoin Wallet

Coinomi wallet

Monero wallet

dogecoin


في ما يلي مثال على ملفات تعريف الارتباط التي تم التقاطها بواسطة Bandit Stealer.

سرقة ملفات تعريف الارتباط للمتصفح من قبل Bandit Stealer

يتم بعد ذلك تجميع البيانات التي تم جمعها في ملف ZIP ثم يتم سحبها إلى خادم C2 الذي يشير إلى خادم Telegram (149.154.167.220).

تسريب البيانات إلى خادم C2 التابع لـ Telegram (149.154.167.220)

التأثير

  • يمكن استخدام بيانات الاعتماد المكشوفة من قبل الجهات الفاعلة في مجال التهديد للوصول إلى المعلومات الشخصية للمستخدم والشبكات الداخلية وسرقة الملفات والمعلومات الحساسة.
  • يمكن بيع أوراق الاعتماد المسروقة في المنتديات السرية، مما يجعلها متاحة للجمهور والمنافسين والجهات الفاعلة الأخرى في مجال التهديد.
  • يمكن أن تؤدي الهجمات وتسريب المعلومات الحساسة إلى فقدان الضحية للبيانات والإيرادات والسمعة.

مؤشرات التسوية (IOCs)

MD5 Hash

70d438da62ea90922e547a1b74d035fd

821254918e64b58040504dbb70e6f925

97c68096b23a9cb9f27598f945bcf6d0

IPv4

149.154.167.220

URL

https://www.youtube.com/watch?v=mUp2_ht8RhE


المراجع

الملحق

لقطة شاشة لسجلات السارق التي جمعتها Bandit

Empyrean - برنامج ضار سارق مفتوح المصدر مكتوب بلغة Python

Bablu Kumar
Bablu is a technology writer and an analyst with a strong focus on all things cybersecurity

Bablu is a technology writer and an analyst with a strong focus on all things cybersecurity

Related Blogs