استفاده از نرمافزار جاسوسی جهت ثبت کاراکترهای تایپ شده از طریق صفحه کلید و سرقت رمزعبور اپلیکیشنهای ویندوزی!
اخیراً محققان کمپین مخربی را کشف کردهاند که پیلودهای مختلفی مانند نرمافزار جاسوسی Agent Tesla و تروجانAve Maria تولید میکند. هدف از تولید این پیلودها سرقت نام کاربری، رمز عبور و نیز ثبت کاراکترهای وارد شده از طریق صفحه کلید در اپلیکیشنهای ویندوزی میباشد.
محققان معتقدند که این نرمافزارهای جاسوسی که به RAT تبدیل میشوند، ممکن است برای توسعه باجافزار مخرب و در جهت سودجویی بیشتر و پیلود قدرتمندتر، مورد استفاده قرار گیرند.
این پیلودها از AutoIT استفاده میکنند، AutoIT یک زبان اسکریپتی است که برای خودکارسازی عملیات در رابط کاربری گرافیکی ویندوز مورد استفاده قرار میگیرد و توسط مجرمان سایبری برای مبهمسازی باینری بدافزارها به منظور فرار از تشخیص و شناسایی مورد سوءاستفاده قرار میگیرد.
این تکنیک عمدتاً برای دور زدن فیلترهای اسپم مورد استفاده قرار گرفته و راهکاری ساده برای تعبیه نمودن فایلهای ISO مخرب در آخرین نسخه ویندوز می باشد.
این بدافزار در سایت Trend Micro به عنوان تروجان spy Negasteal یا Agent Tesla (TrojanSpy.Win32.NEGASTEAL.DOCGC)، و تروجان دسترسی از راه دور (RAT) Ave Maria یا Warzone (TrojanSpy.Win32.AVEMARIA.T) معرفی گردیده است.
محققان بر این باورند که عاملان این تهدید، بدافزارها را از طریق ایمیلهای مخرب توزیع میکنند.
فرآیند آلودگی به بدافزار
این بدافزارها غالباً به صورت فایل فشرده (RAR.) در ضمیمهی ایمیلهای Malspam ارائه میشوند. هنگامی که قربانیان، فایل ضمیمه ایمیل را دانلود و آن را از حالت فشرده خارج میکنند، انواع نرمافزارهای آلوده به بدافزار مخرب Negasteal و Ave Maria به سیستم آنها وارد میشود.
بر اساس پژوهشهای سایت Trend Micro، تکنیک مبهمسازی AutoIT دارای دو لایه است: "باینریهای بدافزار که در اسکریپهای AutoIT (.au3) پنهان شدهاند و اسکریپتهایی که توسط کامپایلر AutoIT مانند Aut2Exe به یک فایل اجرایی تبدیل میشوند."
این نوع تکنیک مبهمسازی به آسانی میتواند برای دور زدن راهکارهای مجهز به تشخیص مبتنی بر رفتار با استفاده از یادگیری ماشینی، بدون هیچ راهحل امنیتی مورد استفاده قرار گیرد.
به گفته محققان، تروجانAve Maria با قابلیتهای بیشتری برای دور زدن UAC و توکنهای فرآیند به منظور ارتقاء سطح دسترسی ارائه شده است.
در پی این آلودگی، تروجان Negasteal/Agent Tesla میتواند کاراکترهای وارد شده، webcam، screen capture و نیز اطلاعات ذخیره شده در clipboardها را نظارت و ثبت کند. همچنین نام کاربری و رمز عبور را از پروتکلهایی مانند HTTP, IMAP, POP3, SMTP و اپلیکیشنهای ویندوزی از جمله Microsoft Outlook، Windows Messaging، Internet Explorer، Google Chrome، Foxmail، Thunderbird و Firefox سرقت به سرقت بَرد.
در سایت Trend Micro آمده است که: " تروجان Ave Maria میتواند فایلهای دلخواه خود را در سیستم قربانی حذف و یا تغییر داده و همچنین فایل جدیدی ایجاد کند و نیز فرآیندها، دایرکتوریها، فایلها و درایوها را برشمارد، فرآیندهای در حال اجرا را خاتمه داده، فایلها را حذف کند و در نهایت نیز خود را حذف نماید."