الفئة:

ذكاء البرامج الضارة

النوع/العائلة:

البرامج الضارة للسارق

الصناعة:

متعدد

المنطقة:

عالمي

‍

ملخص تنفيذي

في 6 يوليو 2023، عثر باحثو التهديدات في CloudSek على لوحة ويب لبرنامج Bandit Stealer الجديد نسبيًا.
تمت كتابة البرامج الضارة بلغة برمجة Go.
وجدنا ما لا يقل عن 14 مثيلاً من لوحات الويب Bandit Stealer التي كانت نشطة مؤخرًا.
يتم توزيع البرامج الضارة من خلال مقاطع فيديو YouTube.
يقوم السارق بجمع البيانات مثل تفاصيل الكمبيوتر والمستخدم ولقطات الشاشة وتحديد الموقع الجغرافي ومعلومات IP وصور كاميرا الويب والبيانات من المتصفحات الشائعة وتطبيقات FTP والمحافظ الرقمية.
يستهدف السارق أكثر من 25 محفظة للعملات المشفرة و 17 متصفح ويب.
يتم بعد ذلك إرسال البيانات المسروقة إلى روبوت Telegram الآمن، ويتم تعبئته في ملف ZIP لسهولة النقل.

‍

التحليل والإسناد

كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر اكتشف منشورًا يشير إلى برنامج Bandit Stealer الضار في منتدى سري يتحدث الروسية حيث أكد ممثل التهديد ذلك.

‍

اكتشف باحثو CloudSek مؤخرًا ما لا يقل عن 14 عنوان IP يخدم لوحة الويب Bandit Stealer، وقد تعطل معظمها في غضون 24 ساعة. تم تشغيل جميع عناوين IP هذه على المنفذ 8080.

‍

تحليل لوحة الويب الخاصة بـ Bandit

حدد مصدرنا بعض نقاط نهاية موقع الويب التي سمحت بالوصول إلى النظام الداخلي للموقع دون إدخال بيانات الاعتماد بسبب التكوين الخاطئ على موقع الويب.

*صفحة تسجيل الدخول إلى لوحة ويب Bandit Stealer*

‍

لا يمكن ملاحظة أي شيء مهم بشكل خاص على لوحة القيادة باستثناء قائمة الخيارات مثل باني و النتائج.

*واجهة لوحة التحكم الخاصة بلوحة البرامج الضارة*

‍

تعرض صفحة Builder خيارات إنشاء نسخة مخصصة من برامج Bandit Stealer الضارة. وفي عملية السرقة، تستخدم الجهات الفاعلة في مجال التهديد العناصر الرئيسية لتنفيذ أنشطتها:

قناة الاتصال: يتم استخدام ChatID ورمز البوت وعنوان IP الخاص بالخادم لإنشاء اتصال آمن مع Telegram. يمكّن هذا الاتصال الجهات الفاعلة في مجال التهديد من تلقي البيانات التي تم تسريبها من المستخدمين المصابين، مثل بيانات الاعتماد المخترقة ولقطات الشاشة.
عناوين محفظة العملات المشفرة: يتم استخدام العديد من عناوين محافظ العملات المشفرة لتحويل مبالغ العملة المشفرة إلى محفظة الفاعل المهدد.
عنوان URL الخاص بالمحمل: يعمل عنوان URL الخاص بـ Loader كآلية لتوزيع البرامج الضارة. على سبيل المثال، في الحملات الإعلانية الخبيثة، تعمل شفرة جافا سكريبت المخفية في الخلفية وهي مسؤولة عن إسقاط ملف البرامج الضارة القابل للتنفيذ على نظام الضحية. يعد عنوان URL هذا مكونًا مهمًا في عملية الإصابة الأولية.
اسم الملف: يشير اسم الملف إلى الاسم المعين لملف البرامج الضارة القابل للتنفيذ. يحتوي هذا الملف على التعليمات البرمجية الضارة المسؤولة عن الإجراءات المقصودة، مثل سرقة البيانات والتسلل.

*لوحة إنشاء البرامج الضارة المستخدمة لإنشاء ملف قابل للتنفيذ*

‍

كانت إحدى نقاط النهاية المكتشفة /يبني التي تحتوي على كل أدوات إنشاء Bandit Stealer التي تم إنشاؤها حتى الآن بواسطة هذه اللوحة بالذات. تمكن مصدرنا من الحصول عليها لمزيد من التحليل.

‍

بعد ذلك، كانت نقطة النهاية الأخرى المحددة /العملاء مع مثيلات متعددة من البيانات التي يحتمل أن يتم تسريبها من عناوين IP متعددة في JSON. في JSON، يتكون اسم الملف من الأهداف رمز البلد + عنوان IP العام، تليها بحجم والتسلل التاريخ والوقت. بينما يؤكد تحليلنا البيانات التي سيتم إرسالها إلى روبوت Telegram، لكننا نفترض أن البرامج الضارة من المحتمل أن تحتفظ أيضًا بنسخة من البيانات التي تم تسريبها في لوحة الويب الخاصة بها.

‍

تحليل سجلات السارق

كان مصدرنا قادرًا على تصفية سجلات السارق من لوحة الويب الخاصة بهم للتحليل. كان أحد ملفات السجل من جهاز الاختبار مع الكثير من لقطات الشاشة التي ربما استخدموها لاختبار البرامج الضارة. تُظهر لقطة الشاشة عملية قتل أدوات مكافحة الانعكاس باستخدام موجه الأوامر. تعرض لقطة الشاشة الأخرى نفس العملية باستخدام PowerShell. نظرًا لأن البرامج الضارة تتمتع بإمكانيات التقاط الشاشة، فمن المفترض أن البرامج الضارة قد التقطت لقطات الشاشة هذه أثناء الإصابة (على الأرجح على جهاز الاختبار).

‍

‍

لقطة شاشة أخرى تكشف عن استخدامات روبوت Telegram في البرامج الضارة السارقة كقناة اتصال C2.

‍

‍

آلية تسليم البرامج الضارة

يتم توزيع البرامج الضارة من خلال مقاطع فيديو YouTube وهي آلية شائعة لتوصيل البرامج الضارة بين الجهات الفاعلة في مجال التهديد. في تقريرنا السابق، أبرزنا أنه منذ نوفمبر 2022، كانت هناك زيادة بنسبة 200-300٪ شهريًا في مقاطع فيديو Youtube التي تحتوي على روابط لبرامج ضارة تسرق مثل Vidar و RedLine و Raccoon في أوصافها.

‍

‍

التحليل الفني

يعرض Bandit Stealer، وهو شكل تم اكتشافه حديثًا من البرامج الضارة لسرقة المعلومات، إمكانات متقدمة وتقنيات مراوغة. وهي مكتوبة بلغة Go، وهي تستخدم طرقًا مختلفة للتحايل على الاكتشاف من خلال أدوات تصحيح الأخطاء وبيئات الأجهزة الافتراضية، مما يضمن بقاء عملياتها السرية غير مكتشفة.

‍

لتجنب التحليل وإعاقة جهود الهندسة العكسية، يستخدم Bandit Stealer تكتيكات ذكية. إنه يتحقق بنشاط من وجود مصححات الأخطاء باستخدام تقنيات مثل هل مصحح الأخطاء موجود و تحقق من وجود مصحح الأخطاء عن بعد. علاوة على ذلك، فإنه يمتلك القدرة على اكتشاف بيئات الحماية، وإغلاق نفسه بسرعة إذا تم اكتشاف مثل هذه البيئات، وبالتالي تفادي محاولات التحليل. حتى أن البرامج الضارة تنهي أدوات الهندسة العكسية التي يمكن أن تتداخل مع وظائفها.

‍

والجدير بالذكر أن Bandit Stealer لوحظ أنه ينتشر عبر مقاطع فيديو YouTube للوصول إلى عدد كبير من المستخدمين.

‍

من أجل إثبات الثبات على الأنظمة المصابة، تقوم البرامج الضارة بإنشاء إدخال سجل التشغيل التلقائي، المسمى «Bandit Stealer». من خلال القيام بذلك، فإنه يضمن تشغيل التعليمات البرمجية الضارة في كل مرة يتم فيها تشغيل الجهاز.

*معلومات الكمبيوتر الشخصي والمستخدم وعنوان IP التي تم جمعها*

‍

تم تصميم السارق للحصول على معلومات قيمة من أجهزة الكمبيوتر والمستخدمين. يقوم بجمع البيانات بشكل سري مثل تفاصيل الكمبيوتر والمستخدم ولقطات الشاشة وتحديد الموقع الجغرافي ومعلومات IP وصور كاميرا الويب والبيانات من المتصفحات الشائعة وتطبيقات FTP والمحافظ الرقمية. يتم بعد ذلك إرسال البيانات المسروقة إلى روبوت Telegram الآمن، ويتم تعبئته في ملف ZIP لسهولة النقل.

‍

يستخدم Stealer قائمة سوداء منظمة تم الحصول عليها من عنوان URL خارجي، وفي بعض الحالات عنوان URL لـ Pastebin، ويقوم بتخزينها في C:\Users\USERNAME\AppData\Roaming\blacklist.txt ويتم حذف الملف بمجرد انتهاء السارق من التنفيذ. تلعب هذه القائمة السوداء دورًا مهمًا في تحديد ما إذا كان Stealer يعمل داخل صندوق حماية أو بيئة افتراضية أو على نظام فعلي. بالإضافة إلى ذلك، فإنه يساعد في تحديد العمليات المحددة والأدوات العكسية التي يهدف السارق إلى إنهائها من أجل إحباط أي تحليل محتمل أو محاولات الهندسة العكسية.

‍

عناوين IP المدرجة في القائمة السوداء:

‍

عناوين Mac المدرجة في القائمة السوداء:

‍

قائمة HWIDs المدرجة في القائمة السوداء:

أسماء مستخدمي الكمبيوتر وأسماء المستخدمين المدرجين في القائمة السوداء:

‍

إنهاء الأدوات العكسية

Blacklisted Processes
httpdebuggerui	wireshark	fiddler	regedit
cmd	taskmgr	vboxservice	df5serv
processhacker	vboxtray	vmtoolsd	vmwaretray
ida64	ollydbg	pestudio	vmwareuser
vgauthservice	vmacthlp	x96dbg	vmsrvc
x32dbg	vmusrvc	prl_cc	prl_tools
xenservice	qemu-ga	joeboxcontrol	ksdumperclient
ksdumper	joeboxserver

وفقًا لبحثنا مفتوح المصدر، يبدو أن Bandit Stealer يستخدم نسخة متطابقة من»blacklist.txt«ملف من مشروع برنامج ضار سارق مفتوح المصدر يسمى إمبيريان متاح على جيثب.

*blacklist.txt متطابق - جزء من برنامج ضار سارق مفتوح المصدر على Github*

‍

سرقة المعلومات واتصالات خادم C2

يسرق Bandit بيانات متصفح الويب التي تتضمن سرقة معلومات تسجيل الدخول المحفوظة وملفات تعريف الارتباط المهمة وسجل التصفح وتفاصيل بطاقة الائتمان الحساسة المخزنة في ملف تعريف مستخدم المتصفح.

List of Target Browsers
Chrome Browser	Iridium Browser	7Star Browser	Vivaldi Browser
Yandex Chrome	Orbitum	Orbitum	uCozMedia
Microsoft Edge	Torch Web Browser	Kometa Browser	CentBrowser
BraveSoftware	Amigo Browser	Epic Privacy Browser	SeaMonkey browser
QupZilla

The malware also targets a large list of digital cryptocurrency wallets.

List of Cryptocurrency Wallets
Coinbase wallet extension	Saturn Wallet extension	MetaMask extension	Bither Bitcoin wallet
Binance chain wallet extension	Coin98 Wallet	ronin wallet extension	multidoge coin
TronLink Wallet	multibit Bitcoin	Kardiachain wallet extension	LiteCoin
Terra Station	Electron Cash	Jaxx liberty Wallet	Dash Wallet
Guildwallet extension	Electrum-btcp	Math Wallet extension	Ethereum
Bitpay wallet extension	Exodus	Nifty Wallet extension	Atomic
Armory	Bytecoin Wallet	Coinomi wallet	Monero wallet
dogecoin

في ما يلي مثال على ملفات تعريف الارتباط التي تم التقاطها بواسطة Bandit Stealer.

*سرقة ملفات تعريف الارتباط للمتصفح من قبل Bandit Stealer*

‍

يتم بعد ذلك تجميع البيانات التي تم جمعها في ملف ZIP ثم يتم سحبها إلى خادم C2 الذي يشير إلى خادم Telegram (149.154.167.220).

‍

*تسريب البيانات إلى خادم C2 التابع لـ Telegram (****149.154.167.220***)

‍

التأثير

يمكن استخدام بيانات الاعتماد المكشوفة من قبل الجهات الفاعلة في مجال التهديد للوصول إلى المعلومات الشخصية للمستخدم والشبكات الداخلية وسرقة الملفات والمعلومات الحساسة.
يمكن بيع أوراق الاعتماد المسروقة في المنتديات السرية، مما يجعلها متاحة للجمهور والمنافسين والجهات الفاعلة الأخرى في مجال التهديد.
يمكن أن تؤدي الهجمات وتسريب المعلومات الحساسة إلى فقدان الضحية للبيانات والإيرادات والسمعة.
‍