امنیت

فناوری اطلاعات

December 7, 2023
10:35 پنجشنبه، 16ام آذرماه 1402
کد خبر: 153648

فروش بدافزارهای مختلف در Persian Remote World

منبع: ماهر

محققان گزارشی در خصوص یک سایت با عنوان Persian Remote World منتشر کردند که اقدام به فروش بدافزارهای مختلف کرده است. محققان با یک Loader جدید به نام Persian Loader در VirusTotal مواجه شدند و با بررسی آن به یک کانال تلگرامی رسیدند. در این کانال، به سایتی با عنوان Persian Remote World پیوند داده شده است که محل فروش بدافزارهای مختلفی از جمله RAT(Remote Access Trojans)، Loaders و Crypter است. تحقیقات نشان می‌دهد که این وب‌سایت‌،Persian RAT  را به ‌همراه پنلی برای مدیریت سیستم‌های آلوده ارائه می‌دهد. این پنل RAT شامل جزئیاتی نظیر نام کامپیوتر، سرور، آدرس IP، مشخصات کاربر، نسخه ویندوز، معماری، CPU، GPU و کشور می‌باشد. توسعه دهندگان، این RATها را به صورت اشتراکی به فروش می‌‌رسانند که هزینه اشتراک یک ماهه 20 دلار و تا مادام العمر 200 دلار است.

علاوه بر اینRAT، یکLoader  مخرب به نام Persian Loader هم در این سایت تبلیغ می‌شود که به همراه یک پنل ساخت باینری و کنترل کلاینت‌ها ارائه می‌شود. این پنل همانطور که در شکل 2 مشاهده می‌کنید، لیستی از قربانیان فعال را نشان می‌دهد و این امکان را فراهم می‌کند تا بتوان فایل دلخواه را در این سیستم‌ها اجرا کرد.

بدافزار Persian Security نوع دیگری از یک بدافزارCrypter  است. این بدافزار می‌تواند فایل‌های اجرایی را رمزگذاری و مبهم کند تا از شناسایی و آنالیز آن‌ها جلوگیری کند. این بدافزار به صورت اشتراکی از ماهی 45 دلار تا مادام‌العمر 650 دلار ارائه می‌شود.

در سایت Persian Remote World آدرس یک کانال تلگرامی است که در تاریخ 18 اکتبر ایجاد شده است و نشان می‌دهد که توسعه دهندگان شروع به توسعه بدافزار کرده‌اند. در این کانال نسخه رایگان Persian Loder Builder  و نسخه پولی آن با قیمت 20 دلار در ماه موجود است.

  • آنالیز فنی بدافزار Persian RAT

نمونه‌ بررسی شده توسط محققان، 3.75 مگابایت حجم دارد که نسبت به نمونه‌های مشابه، حجم بالاتری دارد. بعد از اجرای برنامه مخرب Persian RAT، یک Mutex با عنوان Persian از طریق CreateMutexW ایجاد می‌کند. این Mutex از اجرای چند نمونه از بدافزار جلوگیری می‌کند و فرآیند Multithreading را آسان می‌کند. شکل 5 فرآیند ایجاد Mutex را نشان می‌دهد.

بعد از ایجاد Mutex، بدافزار از طریق AdjustTokenPrivileges امتیازات SeShutdownPrivilege و SeDebugPrivilege را فعال می‌کند. این امتیازات به ترتیب برای ریستارت سیستم و دسترسی به حافظه‌ پروسه‌های دیگر استفاده می‌شوند. شکل 6 نشان‌دهنده تنظیم این امتیازات به وسیله بدافزار است.

این بدافزار به صورت دستی کنترل می‌شود و فعالیت‌های مخرب خود را از سرور C2 دریافت می‌کند. سایر ویژگی‌های این بدافزار به شرح زیر است:
•    عملیات روی فایروال
Persian RAT  دارای تابعی است که امکان دستکاری فایروال را از طریق دستورات netsh می‌دهد.
•    کیلاگر
این بدافزار قابلیت ضبط کلیدهای فشرده شده و ارسال آن به مهاجم را دارد. مهاجم می‌تواند این کیلاگر را فعال یا غیرفعال کند.
•    سرقت کوکی و پسوردها
بدافزار می‌تواند پسوردها و کوکی ها را از مرورگرهای زیر در سیستم قربانی بردارد :

 – Mozilla Firefox
– Google Chrome
– Microsoft Edge

•    بازی‌ها و برنامه‌ها
همچنین بدافزار روی بازی‌ها و نرم افزارهای نصب شده روی سیستم هم تمرکز دارد. مهاجم میتواند بازی‌ها و نرم‌افزارهای مختلف روی سیستم را اسکن کند و فایلهای حساس را استخراج کند.
•    دستورات
این بدافزار تعدادی دستورات هم دارد که مربوط به UAC، دستکاری فایروال، عملیات باج‌افزاری، ضبط اسکرین و تعامل با سایتهای بانکی است.
•    هدف قرار دادن موسسات مالی و بانک‌ها
بدافزار همچنین روی بانک‌ها و موسسات مالی هم کار می‌کند.

  • آنالیز فنی بدافزار Persian Loader

بدافزار Persian Loader  امکان اجرای فایلهای اجرایی دیگر را روی سیستم قربانی فراهم می‌کند. بدافزار با استفاده از TCP Socket می‌تواند اجرای Payload مرحله دوم را روی سیستم آلوده تسهیل کند. سازنده Persian Loader و ابزار مدیریتی آن به نام Persian X Loader 5.0، به صورت رایگان در کانال تلگرامی مذکور قرار دارد. شکل 7 زیر نشان‌دهنده پنل Persian X Loader 5.0 Builder است.

برنامه مخرب Persian X Loader 5.0 می‌تواند یک listener server سفارشی ایجاد کند که امکان اتصال به هر پورت مشخص شده را می‌دهد. مهاجم می‌تواند باینری مخرب را با استفاده از Persian X Loader 5.0 از طریق اضافه کردن پورت و آدرس IP مربوط به listener server در داخل builder بسازد. وقتی در سیستم قربانی اجرا می‌شوند، فایل اجرایی ساخته شده جدید به listener server روی listener port متصل می‌شود. Persian Loader دارای یک پنل برای مدیریت Loaderهای مستقر شده در سیستم‌های قربانی است. شکل 8 این پنل را نشان می‌دهد که در آن قرار است یک فایل اجرایی دیگر روی سیستم قربانی اجرا شود.

توصیه‌های امنیتی
•    دسترسی اولیه RATها و Loaderها معمولا از طریق وب سایتها یا ایمیل‌های فیشینگ انجام می‌شود. برنامه‌ها را از منابع ناشناخته دانلود و نصب نکنید و از باز کردن ایمیلهایی که از یک منبع ناشناخته ارسال شده است، خودداری کنید.
•    وب‌سایتها را از لحاظ دارا بودن پروتکل https و املای دقیق، بررسی کنید.
•    از محصولات امنیتی قوی برای شناسایی و حذف فایلهای مخرب استفاده کنید.
•    از رمزهای عبور قوی و منحصربه فرد برای هر حساب کاربری استفاده کنید و در صورت امکان، قابلیت تایید دو مرحله‌ای را فعال کنید.
•    از داده‌ها منظم پشتیبان‌گیری کنید تا اگر گرفتار بدافزار شدید، بتوان آن‌ها را مجدد بازیابی کرد. همچنین، کاربران را از روش‌های جدید فیشینگ و مهندسی اجتماعی مطلع کنید.

  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.