استفاده از نرم‌افزار جاسوسی جهت ثبت کاراکترهای تایپ شده از طریق صفحه کلید و سرقت رمزعبور اپلیکیشن‌های ویندوزی!

اخیراً محققان کمپین مخربی را کشف کرده‌اند که ‌پی‌لودهای مختلفی مانند نرم‌افزار جاسوسی Agent Tesla و تروجانAve Maria  تولید می‌کند. هدف از تولید این پی‌لودها سرقت نام کاربری، رمز عبور و نیز ثبت کاراکترهای وارد شده از طریق صفحه کلید در اپلیکیشن‌های ویندوزی می‌باشد.

محققان معتقدند که این نرم‌افزارهای جاسوسی که به RAT   تبدیل می‌شوند، ممکن است برای توسعه باج‌افزار مخرب و در جهت سودجویی بیشتر و پی‌لود قدرتمندتر، مورد استفاده قرار گیرند.

این پی‌لودها از AutoIT استفاده می‌کنند، AutoIT یک زبان اسکریپتی است که برای خودکارسازی عملیات در رابط کاربری گرافیکی ویندوز مورد استفاده قرار می‌گیرد و توسط مجرمان سایبری برای مبهم‌سازی باینری بدافزارها به منظور فرار از تشخیص و شناسایی مورد سوءاستفاده قرار می‌گیرد.

این تکنیک عمدتاً برای دور زدن فیلترهای اسپم مورد استفاده قرار گرفته و راهکاری ساده برای تعبیه نمودن فایل‌های ISO مخرب در آخرین نسخه ویندوز می باشد.

این بدافزار در سایت Trend Micro به عنوان تروجان spy Negasteal یا Agent Tesla ‪(TrojanSpy.Win32.NEGASTEAL.DOCGC)‬، و تروجان دسترسی از راه دور (RAT‏) Ave Maria یا Warzone ‪(TrojanSpy.Win32.AVEMARIA.T)‬ معرفی گردیده است.

محققان بر این باورند که عاملان این تهدید، بدافزارها را از طریق ایمیل‌های مخرب توزیع می‌کنند.

فرآیند آلودگی به بدافزار
این بدافزارها غالباً به صورت فایل فشرده (RAR.) در ضمیمه‌ی ایمیل‌های Malspam ارائه می‌شوند. هنگامی که قربانیان، فایل ضمیمه ایمیل را دانلود و آن را از حالت فشرده خارج می‌کنند، انواع نرم‌افزارهای آلوده به بدافزار مخرب Negasteal و Ave Maria به سیستم آنها وارد می‌شود.

بر اساس پژوهش‌های سایت Trend Micro، تکنیک مبهم‌سازی AutoIT  دارای دو لایه است: "باینری‌های بدافزار که در اسکریپ‌های AutoIT ‪(.au3)‬ پنهان شده‌اند و اسکریپت‌هایی که توسط کامپایلر AutoIT مانند Aut2Exe به یک فایل اجرایی تبدیل می‌شوند."

این نوع تکنیک مبهم‌سازی به آسانی می‌تواند برای دور زدن راهکارهای مجهز به تشخیص مبتنی بر رفتار با استفاده از یادگیری ماشینی، بدون هیچ راه‌حل امنیتی مورد استفاده قرار گیرد.
به گفته محققان، تروجانAve Maria  با قابلیت‌های بیشتری برای دور زدن UAC و توکن‌های فرآیند به منظور ارتقاء سطح دسترسی ارائه شده است.

در پی این آلودگی، تروجان Negasteal/Agent Tesla می‌تواند کاراکترهای وارد شده، webcam، screen capture و نیز اطلاعات ذخیره شده در clipboardها را نظارت و ثبت ‌کند. همچنین نام کاربری و رمز عبور را از پروتکل‌هایی مانند HTTP, IMAP, POP3, SMTP و اپلیکیشن‌های ویندوزی از جمله‌ Microsoft Outlook، Windows Messaging، Internet Explorer، Google Chrome، Foxmail، Thunderbird و Firefox سرقت به سرقت بَرد.
در سایت Trend Micro آمده است که: " تروجان Ave Maria می‌تواند فایل‌های دلخواه خود را در سیستم قربانی حذف و یا تغییر داده و همچنین فایل جدیدی ایجاد کند و نیز فرآیندها، دایرکتوری‌ها، فایل‌ها و درایوها را برشمارد، فرآیندهای در حال اجرا را خاتمه داده، فایل‌ها را حذف کند و در نهایت نیز خود را حذف نماید."

منبع خبر: https://gbhackers.com/obfusticated-rat-spyware/‎