جاسوسافزار تبلیغاتی ماساد با استفاده از باتهای تلگرام، اقدام به سرقت اطلاعات کاربران میکند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، کارشناسان امنیتی بهتازگی یک جاسوسافزار تبلیغاتی را به نام ماساد (Masad Clipper and Stealer) شناسایی کردهاند. ماساد از باتهای تلگرام بهعنوان هاب فرماندهی و کنترل (C2) بهره میگیرد. این بدافزار میتواند اطلاعات کاربران ویندوزی و اندرویدی را جمعآوری کند. همچنین مجموعهای از قابلیتهای مخرب مانند سرقت ارز دیجیتالی را از کیف پول قربانیان دارد.
با توجه به گزارش آزمایشگاه تهدید ژونیپر (Juniper Threat Labs)، معتقدند ماساد بر پایه بدافزاری به نام Qulab Stealer نوشته شدهاست. یکی از موردتوجهترین ویژگیهای ماساد این است که دادههای جمعآوری شده از قربانیان را به یک ربات تلگرامی ارسال کرده و از آن به عنوان سرور فرماندهی و کنترل بهره میگیرد.
ماساد به منظور ارتباط با بات فرماندهی و کنترل ابتدا یک پیام getMe ارسال میکند. این پیام برای تأیید فعال بودن بات از توکن هاردکد آن بهره میگیرد. پس از جمعآوری دادهها و فشردهسازی آنها در فولدر ZIP، محتوا را با بهکارگیری رابط برنامهنویسی کاربردی سند داکیومنت (sendDocument API) ارسال میکند.
تحلیلگران ژونیپر گفتند: پس از دریافت پیام یاد شده، روبات با استفاده از نام کاربری خود پاسخ میدهد. این نام کاربری بهمنظور شناسایی بازیگران مخرب احتمالی که با بدافزار مرتبط هستند مفید واقع میشود. این مسئله دلیل مهمی برای پنهان ماندن ماهیت بدافزار است؛ زیرا گروهها مختلف از ماساد برای اهداف متفاوتی بهره میگیرند.
در حقیقت بیش از ۱۰۰۰ نمونه فعال شناسایی شدهاند که نشان میدهد ۳۳۸ بات فرماندهی و کنترل منحصربهفرد برای ماساد وجود دارد.
محققان گفتند: از دادههای مذکور میتوان تعداد مهاجمان را تخمین زد یا حداقل تعداد کمپینهایی را که از ماساد بهره میگیرند شناسایی کرد. اطلاعات به سرقت رفته میتواند شامل دادههای مرورگر مانند نامهای کاربری و رمزهای عبور وبگاهها، اطلاعات تماس و کارتهای اعتباری باشد. همچنین میتواند به اطلاعات رایانهها، فهرست نرمافزارهای نصبشده یا در حال پردازش، فایلهای دسکتاپ، اسکرینشاتها، کوکی مرورگرها، فایلهای بستر بازی استیم و فایل زیلا و پیامهای دیسکورد و تلگرام باشد.
ماساد همچنین میتواند به صورت خودکار کیفهای پول ارز دیجیتالی موجود در کلیپبورد را با نمونه خود جایگزین کند. ازجمله این ارزهای دیجیتالی میتوان به اتریوم، داگیکوین، بیتکوین، نئو، مونرو، لایتکوین و چندین نمونه دیگر اشاره کرد.
به علاوه امکان دانلود و نصب دیگر بدافزارها را نیز فراهم میکند. تحقیقات ژونیپر نشان داد که ماساد، خود را به عنوان یک ابزار مشروع یا شخص ثالث معرفی میکند. ماساد از نرمافزارهای«ProxySwitcher»، CCleaner ،Utilman ،Netsh ،Whoami و همچنین از بدافزار مخرب دیگری به نام Proxo Bootstrapper تقلید میکند.
بهعلاوه خود را بهعنوان ماساد خود را بهعنوان یک هک برای بازی فورتنایت (Fortnite) نیز معرفی میکند. این فایل Fortniteaimbot 2019.exe نام دارد. همچنین این بدافزار در قالب مجموعه بهروزرسانیهای نرمافزاری تلفنهای گالکسی سامسونگ نیز دیده شدهاست.
هکرها کاربران نهایی را از طریق انجام تبلیغات در تالارهای گفتوگو، وبگاههای دانلود شخص ثالث یا اشتراکگذاری فایل، تشویق به دانلود بدافزار میکنند. این بدافزار از در بازه قیمتی رایگان تا ۸۵ دلار به مصرفکننده فروختهمیشود و هر کدام آنها از تواناییهای مختلفی برخوردار هستند.