کد QR مطلبدریافت صفحه با کد QR

سرقت اطلاعات ماساد به یاری بات‌های تلگرامی

سایبربان , 7 مهر 1398 ساعت 16:55

جاسوس‌افزار تبلیغاتی ماساد با استفاده از بات‌های تلگرام، اقدام به سرقت اطلاعات کاربران می‌کند.


جاسوس‌افزار تبلیغاتی ماساد با استفاده از بات‌های تلگرام، اقدام به سرقت اطلاعات کاربران می‌کند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، کارشناسان امنیتی به‌تازگی یک جاسوس‌افزار تبلیغاتی را به نام ماساد (Masad Clipper and Stealer) شناسایی کرده‌اند. ماساد از بات‌های تلگرام به‌عنوان هاب فرماندهی و کنترل (C2) بهره می‌گیرد. این بدافزار می‌تواند اطلاعات کاربران ویندوزی و اندرویدی را جمع‌آوری کند. همچنین مجموعه‌ای از قابلیت‌های مخرب مانند سرقت ارز دیجیتالی را از کیف پول قربانیان دارد.

با توجه به گزارش آزمایشگاه تهدید ژونیپر (Juniper Threat Labs)، معتقدند ماساد بر پایه بدافزاری به نام Qulab Stealer نوشته شده‌است. یکی از موردتوجه‌ترین ویژگی‌های ماساد این است که داده‌های جمع‌آوری شده از قربانیان را به یک ربات تلگرامی ارسال کرده و از آن به عنوان سرور فرماندهی و کنترل بهره می‌گیرد.

ماساد به منظور ارتباط با بات فرماندهی و کنترل ابتدا یک پیام getMe ارسال می‌کند. این پیام برای تأیید فعال بودن بات از توکن هاردکد آن بهره می‌گیرد. پس از جمع‌آوری داده‌ها و فشرده‌سازی آنها در فولدر ZIP، محتوا را با به‌کارگیری رابط برنامه‌نویسی کاربردی سند داکیومنت (sendDocument API) ارسال می‌کند.

تحلیلگران ژونیپر گفتند: پس از دریافت پیام یاد شده، روبات با استفاده از نام کاربری خود پاسخ می‌دهد. این نام کاربری به‌منظور شناسایی بازیگران مخرب احتمالی که با بدافزار مرتبط هستند مفید واقع می‌شود. این مسئله دلیل مهمی برای پنهان ماندن ماهیت بدافزار است؛ زیرا گروه‌ها مختلف از ماساد برای اهداف متفاوتی بهره می‌گیرند.

در حقیقت بیش از ۱۰۰۰ نمونه فعال شناسایی شده‌اند که نشان می‌دهد ۳۳۸ بات فرماندهی و کنترل منحصربه‌فرد برای ماساد وجود دارد.

محققان گفتند: از داده‌های مذکور می‌توان تعداد مهاجمان را تخمین زد یا حداقل تعداد کمپین‌هایی را که از ماساد بهره می‌گیرند شناسایی کرد. اطلاعات به سرقت رفته می‌تواند شامل داده‌های مرورگر مانند نام‌های کاربری و رمزهای عبور وب‌گاه‌ها، اطلاعات تماس و کارت‌های اعتباری باشد. همچنین می‌تواند به اطلاعات رایانه‌ها، فهرست نرم‌افزارهای نصب‌شده یا در حال پردازش، فایل‌های دسکتاپ، اسکرین‌شات‌ها، کوکی مرورگرها، فایل‌های بستر بازی استیم و فایل زیلا و پیام‌های دیسکورد و تلگرام باشد.

ماساد همچنین می‌تواند به صورت خودکار کیف‌های پول ارز دیجیتالی موجود در کلیپبورد را با نمونه‌ خود جایگزین کند. ازجمله این ارزهای دیجیتالی می‌توان به اتریوم، داگی‌کوین، بیت‌کوین، نئو، مونرو، لایت‌کوین و چندین نمونه دیگر اشاره کرد.

به علاوه امکان دانلود و نصب دیگر بدافزارها را نیز فراهم می‌کند. تحقیقات ژونیپر نشان داد که ماساد، خود را به عنوان یک ابزار مشروع یا شخص ثالث معرفی می‌کند. ماساد از نرم‌افزارهای«ProxySwitcher»، CCleaner ،Utilman ،Netsh ،Whoami و همچنین از بدافزار مخرب دیگری به نام Proxo Bootstrapper تقلید می‌کند.

به‌علاوه خود را به‌عنوان ماساد خود را به‌عنوان یک هک برای بازی فورتنایت (Fortnite) نیز معرفی می‌کند. این فایل Fortniteaimbot 2019.exe نام دارد. همچنین این بدافزار در قالب مجموعه به‌روزرسانی‌های نرم‌افزاری تلفن‌های گالکسی سامسونگ نیز دیده شده‌است.

هکرها کاربران نهایی را از طریق انجام تبلیغات در تالارهای گفت‌وگو، وب‌گاه‌های دانلود شخص ثالث یا اشتراک‌گذاری فایل، تشویق به دانلود بدافزار می‌کنند. این بدافزار از در بازه قیمتی رایگان تا ۸۵ دلار به مصرف‌کننده فروخته‌می‌شود و هر کدام آنها از توانایی‌های مختلفی برخوردار هستند.


کد مطلب: 15836

آدرس مطلب :
https://www.aftana.ir/news/15836/سرقت-اطلاعات-ماساد-یاری-بات-های-تلگرامی

افتانا
  https://www.aftana.ir