سرقت اطلاعات از طریق یک فایل در ظاهر TXT

شرکت چیهو 360 در گزارشی به بررسی بدافزاری با عملکرد جاسوس‌افزار پرداخته که از طریق ایمیل‌های فیشینگ و با بکارگیری تکنیک موسوم به RLO منتشر می‌شود. از بدافزار مذکور با عنوان Poulight یاد شده است.

در ادامه این مطلب که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده خصوصیات و ویژگی‌های این بدافزار مورد بررسی قرار گرفته است.

گردانندگان این تهدید، ایمیلی را که در آن یک فایل با نام ReadMe_txt.lnk.lnk پیوست شده است به اهداف خود ارسال می‌کنند. با بکارگیری فناوری Right-to-Left Override – به اختصار RLO – آن‌چه کاربر با آن روبرو می‌شود ReadMe_knl.txt است. همزمان مهاجمان از نشان Notepad برای این فایل lnk استفاده می‌کنند تا txt بودن فایل برای کاربر قابل‌باورتر باشد.

 

 

با اجرای فایل، یک فرمان PowerShell فراخوانی شده و برنامه مخرب زیر که در ادامه به آن Attribute مخفی (Hidden) اعمال خواهد شد دریافت می‌گردد:

 

 

برنامه مذکور که در بستر .Net کامپایل شده و نام داخلی (Internal Name) آن Poullight.exe گزارش شده است.

مهاجمان از putty3.exe نیز برای تشخیص مجازی یا سندباکس بودن بستر موجود بهره می‌گیرند. در صورت تشخیص هر یک از این بسترها، برنامه، اجرای خود را متوقف می‌کند.

 

 

چنانچه مجازی یا سندباکس بودن دستگاه محرز نشود برنامه تلاش می‌کند تا منابع مورد نیاز خود را دریافت کرده و از طریق Base64 آنها را رمزگشایی کند. حاصل آن پیکربندی زیر می‌شود:

<prog.params>YWRtaW4=|MQ==|MA==</prog.params>
<title>UG91bGlnaHQ=</title>
<cpdata>MHwwfDEyQ051S2tLSzF4TEZvTTlQNTh6V1hrRUxNeDF5NTF6 Nll8MTJDTnVLa0tLMXhMRm9NOVA1OHpXWGtFTE14MXk1MX o2WXww</cpdata>
<ulfile>aHR0cDovL3J1LXVpZC01MDczNTI5MjAucHAucnUvZXhhbXBsZS5leGU=</ulfile>
<mutex>PL2d4vFEgVbQddddkms0ZhQiI0I</mutex>

نویسه‌های مقدار <mutex> کوچک (Lowercase) شده (pl2d4vfegvbqddddkms0zhqii0i) و فایلی با همین نام و با محتوای تصادفی 8 تا 32 بایت در مسیر %TEMP% ایجاد می‌شود. به‌نظر می‌رسد که این فایل در مرحله آزمون قرار دارد و هنوز نهایی و اجرایی نشده است.

 

 

علاوه بر توانایی شناسایی بستر، بدافزار اقدام به ضبط نام‌های کاربری، نام ماشین و اطلاعاتی نظیر محصول ضدویروس نصب شده، عنوان کارت گرافیک و عنوان پردازشگر می‌کند.

تمامی داده‌های مذکور در مسیر زیر ذخیره می‌شود:

%LocalAppData%\<8-byte random characters>\PC-Information.txt

در کد رمزگشایی شده تعداد زیادی توضیحات روسی به چشم می‌خورد.

 

 

در ادامه آن، بدافزار، فهرستی از پروسه‌های فعال را استخراج کرده و آنها را در فایل و مسیر زیر ذخیره می‌کند:

%LocalAppData%\1z9sq09u\ProcessList.txt

در ادامه مقدار سوم از روی <prog.params> در فایل پیکربندی که پیش‌تر به آن اشاره شد خوانده می‌شود. در صورتی که مقدار آن “1” باشد، تابع clipper.Start اجرا خواهد شد. این تابع منبع cpp و در حقیقت رشته ارتباطی زیر را رمزگشایی می‌کند:

<clbase>0|0|12CNuKkKK1xLFoM9P58zWXkELMx1y51z6Y|12CNuKkKK1xLFoM9P58zWXkELMx1y51z6Y|0</clbase>

فایل Windows Defender.exe در مسیر %TEMP% ذخیره شده و سپس اجرا می‌شود. همچنین مقدار <clbase> از طریق Base64 توسط مقدار <cpdata> در بخش پیشین، مجدداً رمزگشایی می‌شود.

به‌طور کلی جاسوسی‌های زیر توسط Poulight و اجزای آن صورت می‌گیرد:

  • تصویربرداری از صفحه کار کاربر
  • سرقت اسناد ذخیره شده با نام‌ها و در مسیرهایی خاص
  • گرفتن عکس از طریق دوربین دستگاه
  • سرقت اطلاعات اصالت‌سنجی FileZilla
  • سرقت اطلاعات اصالت‌سنجی Pidgin
  • سرقت اطلاعات discord\Local Storage
  • سرقت داده‌های Telegram در مسیرهایی خاص
  • سرقت داده‌های Skype
  • سرقت فایل‌های احراز هویت ssfn
  • سرقت اطلاعات کیف‌های ارز رمز

کوکی‌ها، نشانی‌های ULR، حساب‌های کاربری، رمزهای عبور، داده‌های Autofill و اطلاعات کارت‌های پرداخت و فایل های حاوی نویسه‌های خاص در 25 مرورگر

 

 

تمامی داده‌های سرقت شده در پوشه‌ای با عنوان تصادفی در مسیر زیر کپی می‌شوند:

%LocalAppData%\1z9sq09u\

 

 

در نهایت فایل‌های سرقت شده رمزگذاری شده و به یکی از نشانی‌های زیر ارسال می‌شود:

http[:]//poullight[.]ru/handle.php
http[:]//gfl.com[.]pk/Panel/gate.php

در صورت ارسال رشته good از سوی سرور فرماندهی (C2) ادامه کد اجرا می‌شود. در غیر این صورت هر دو ثانیه یک‌بار برای ارسال مجدد تلاش خواهد شد.

در صورت موفقیت‌آمیز بودن فرایند ارسال، hxxp://ru-uid-507352920.pp.ru/example.exe دریافت شده و با نامی تصادفی در مسیر زیر ذخیره می‌شود:

%LocalAppData%\<8 bytes random characters 1>

تابع اصلی برنامه نیز اطلاعات مختلفی را بر روی ماشین جمع‌آوری می‌کند؛ اما از آنجایی که پوشه حاوی آن اطلاعات حذف می‌شود محققان احتمال می‌دهند که هنوز در مراحل بررسی و آزمون قرار داشته باشد.

 

 

نشانه‌های آلودگی

درهم‌ساز:

dcb4dfc4c91e5af6d6465529fefef26f
083119acb60804c6150d895d133c445a
b874da17a923cf367ebb608b129579e1

سرورهای فرماندهی:

hxxp://gfl.com.pk/Panel/gate.php
hxxp://poullight.ru/handle.php

نشانی‌های URL:

hxxps://iwillcreatemedia.com/build.exe
hxxp://ru-uid-507352920.pp.ru/example.exe

 

منبع

https://blog.360totalsecurity.com/en/a-txt-file-can-steal-all-your-secrets/

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *