به گفته برخی منابع، گروه نفوذگران Chafer از پاییز امسال با استفاده از نسخه ارتقا یافته یک بدافزار پیشرفته، دیپلماتهای مقیم ایران را هدف حملات خود قرار داده است.
بدافزار استفاده شده در جریان این حملات، Remexi گزارش شده که پیشتر نیز توسط Chafer بکار گرفته شده بود.
Remexi بدافزاری از نوع جاسوسافزار (Spyware) است که قادر به جمعآوری اطلاعاتی همچون کلیدهای فشرده شده توسط کاربر، تصویربرداری از صفحه نمایش و سوابق سایتهای فراخوانی شده بر روی دستگاه است. ضمن اینکه این قابلیت را داراست که در صورت کلیک بر روی کلیدی در هر یک از پنجرههای باز شده اقدام به گرفتن تصویر از صفحه کند.
به گزارش شرکت مهندسی شبکه گستر، Remexi با استفاده از زبان برنامهنویسی C توسعه داده شده و آخرین نسخه از آن، کمتر یک سال قبل از طریق GCC در بستر MinGW کامپایل شده است.
یکی از ویژگیهای خاص نسخه جدید، بهرهگیری آن از یکی از ابزارهای معتبر مایکروسافت با عنوان Background Intelligent Transfer Service – به اختصار BITS – برای برقراری ارتباط با سرور فرماندهی خود در بستر پودمان HTTP است. تکنیکی که هدف آن عبور از سد ابزارهای امنیتی بهخصوص محصولات امنیت شبکهای است که ترافیک ورودی و خروجی برقرار شده از طریق ابزار معتبر BITS را مورد رصد و بررسی قرار نمیدهند.
در فرایند رمزگذاری انجام شده توسط نسخه جدید Remexi از کلیدی با عنوان “salamati” استفاده شده است. همچنین در یکی از فایلهای PDB این بدافزار، یک نام کاربری با عنوان “Mohamadreza New” به چشم میخورد. مواردی که سبب گردیده برخی منابع این بدافزار را محصول هکرهای ایرانی بدانند. پیشتر نیز گمانهزنیهای متعددی درباره ایرانی بودن اعضای گروه Chafer مطرح شده بود. باید توجه داشت که درج اطلاعات نادرست در کد بدافزار و فرادادههای آن، یکی از تکنیکهای متداول نفوذگران و ویروسنویسان حرفهای برای گمراه کردن تحلیلگران است.
اگر چه این منابع از روش انتشار نسخه جدید Remexi اظهار بیاطلاعی کردهاند اما اجرای حملات هدفمند فیشینگ برای هدایت کاربر به دریافت و اجرای فایل مخرب Remexi بسیار محتمل دانسته شده است.
IP اکثر دستگاههای آلوده شده، در دامنه نشانیهای اختصاص یافته به ایران و متعلق به دستگاه دیپلماتهای مقیم این کشور اعلام شده است.
مشروح گزارش یکی از منابع بررسیکننده نسخه جدید Remexi در لینک زیر قابل دریافت و مطالعه است: