کد منبع بدافزار نرمافزارهای فارسی زبان CodeRAT پس از در معرض خطر قرار گرفتن، توسط عاملین آن در GitHub نشت پیدا کرد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، کد منبع یک تروجان دسترسی راه دور (RAT) به نام کُد رَت (CodeRAT) پس از آن که تحلیلگران بدافزار به مقابله با توسعهدهندگان این ابزار پرداختند (به دلیل استفاده از آن در حملات)، در گیتهاب (GitHub) نشت پیدا کرد.
در این عملیات توسعهدهندگان بدافزار CodeRAT، نرم افزارهای فارسی زبان را با استفاده از یک سند ورد هدف قرار میدهد. این سند ورد شامل کد مخرب تبادل داده پویای مایکروسافت است.
این کد مخرب، کد رت را از مخزن گیتهاب مخرب دانلود و اجرا میکند. این موضوع میتواند قابلیتهای پسا آلودگی متنوعی را در اختیار عاملین راه دور تروجان نام برده قرار دهد.
کد رت حدود ۵۰ دستور را پشتیبانی میکند و دارای قابلیتهای نظارتی متنوعی است که وب میلها، اسناد مایکروسافت آفیس، پایگاههای داده، پلتفرمهای شبکه اجتماعی، محیط توسعه یکپارچه ویندوز و اندروید و حتی وبسایتهایی مانند پی پال را مورد هدف قرار میدهند.
شرکت امنیت سایبری سِیف بریچ گزارش داد که این بدافزار در ابزارهای ویندوزی مانند ویژوال استودیو، پایتون، پی اچ پی استورم و وِری لاگ نیز اقدام به جاسوسی میکند.
کد رت برای ارتباط با عاملانش و انتقال غیر مجاز دادههای سرقتی از مکانیزمی مبتنی بر تلگرام استفاده میکند. این مکانیزم بر یک فایل عمومی بدون نام متکی است که به جای زیرساختهای سرور کنترل و فرمان متداول تر، رابط برنامه نویسی اپلیکیشن را آپلود میکند.
اگرچه، پس از تماس محققان با توسعه دهندگان بدافزار نام برده این کمپین به یکباره متوقف شد. حالا با عمومیشدن کد منبع این تروجان، استفاده از آن رایجتر خواهد شد.
این بدافزار از حدود ۵۰ دستور از جمله موارد زیر پشتیبانی میکند:
• تهیه اسکرین شات
• کپی کردن محتوای کلیپ برد
• به دست آوردن لیست فرآیندهای در حال اجرا
• نابود کردن فرآیندها
• بررسی استفاده واحد پردازش گرافیکی
• دانلود
• آپلود
• حذف فایلها
• اجرای برنامهها
مهاجم میتواند از طریق ابزار رابط کاربری این دستورها را تولید کند. این ابزار، دستورات را ایجاد و مبهم سازی و سپس با استفاده از یکی از سه روش زیر آنها را به بدافزار منتقل میکند:
• API ربات تلگرام (بدون درخواستهای مستقیم)
• حالت دستی (گزینه USB را هم شامل میشود)
• دستوراتی که به صورت محلی بر روی پوشه تصاویر بایگانی شدهاند
هر سه روش بالا میتوانند در جهت انتقال غیر مجاز داده شامل تک فایل و تمامی پوشهها یا هدف قرار دادن افزونههای خاصی از فایلها مورد استفاده قرار بگیرند.
در صورتی که تلگرام در آن کشور قربانی فیلتر باشد کد رت قابلیت ضد فیلتری را ارائه میدهد که کانال مسیریابی درخواست مجزایی را ایجاد میکند. این شرایط به عبور از محدودیتها کمک شایانی خواهد کرد.
عاملان کد رت همچنین مدعی هستند این بدافزار میتواند بدون ایجاد تغییر در رجیستری ویندوز در میان ریبوتها پایدار بماند، اما سیف بریچ هیچ گونه اطلاعات جزئی دیگری را در ارتباط با این قابلیت منتشر نکرده است.
کد رت دارای قابلیتهایی است که به احتمال زیاد دیگر مجرمان سایبری را نیز مجذوب خواهد کرد. توسعهدهندگان بدافزار همواره به دنبال کد بدافزاری هستند که بتواند به یک محصول جدید تبدیل شود و منافع آنها را بیشتر کند.