جاسوس‌افزار Remexi به دنبال دیپلمات‌ها

به گفته برخی منابع، گروه نفوذگران Chafer از پاییز امسال با استفاده از نسخه ارتقا یافته یک بدافزار پیشرفته، دیپلمات‌های مقیم ایران را هدف حملات خود قرار داده است.

بدافزار استفاده شده در جریان این حملات، Remexi گزارش شده که پیش‌تر نیز توسط Chafer بکار گرفته شده بود.

Remexi بدافزاری از نوع جاسوس‌افزار (Spyware) است که قادر به جمع‌آوری اطلاعاتی همچون کلیدهای فشرده شده توسط کاربر، تصویربرداری از صفحه نمایش و سوابق سایت‌های فراخوانی شده بر روی دستگاه است. ضمن اینکه این قابلیت را داراست که در صورت کلیک بر روی کلیدی در هر یک از پنجره‌های باز شده اقدام به گرفتن تصویر از صفحه کند.

به گزارش شرکت مهندسی شبکه گستر، Remexi با استفاده از زبان برنامه‌نویسی C توسعه داده شده و آخرین نسخه از آن، کمتر یک سال قبل از طریق GCC در بستر MinGW کامپایل شده است.

یکی از ویژگی‌های خاص نسخه جدید، بهره‌گیری آن از یکی از ابزارهای معتبر مایکروسافت با عنوان Background Intelligent Transfer Service – به اختصار BITS – برای برقراری ارتباط با سرور فرماندهی خود در بستر پودمان HTTP است. تکنیکی که هدف آن عبور از سد ابزارهای امنیتی به‌خصوص محصولات امنیت شبکه‌ای است که ترافیک ورودی و خروجی برقرار شده از طریق ابزار معتبر BITS را مورد رصد و بررسی قرار نمی‌دهند.

در فرایند رمزگذاری انجام شده توسط نسخه جدید Remexi از کلیدی با عنوان “salamati” استفاده شده است. همچنین در یکی از فایل‌های PDB این بدافزار، یک نام کاربری با عنوان “Mohamadreza New” به چشم می‌خورد. مواردی که سبب گردیده برخی منابع این بدافزار را محصول هکرهای ایرانی بدانند. پیش‌تر نیز گمانه‌زنی‌های متعددی درباره ایرانی بودن اعضای گروه Chafer مطرح شده بود. باید توجه داشت که درج اطلاعات نادرست در کد بدافزار و فراداده‌های آن، یکی از تکنیک‌های متداول نفوذگران و ویروس‌نویسان حرفه‌ای برای گمراه کردن تحلیلگران است.

اگر چه این منابع از روش انتشار نسخه جدید Remexi اظهار بی‌اطلاعی کرده‌اند اما اجرای حملات هدفمند فیشینگ برای هدایت کاربر به دریافت و اجرای فایل مخرب Remexi بسیار محتمل دانسته شده است.

IP اکثر دستگاه‌های آلوده شده، در دامنه نشانی‌های اختصاص یافته به ایران و متعلق به دستگاه دیپلمات‌های مقیم این کشور اعلام شده است.

مشروح گزارش یکی از منابع بررسی‌کننده نسخه جدید Remexi در لینک زیر قابل دریافت و مطالعه است:

• https://securelist.com/chafer-used-remexi-malware/89538/