کشف آسیب‌پذیری در بدافزار Phemedrone Stealer

یک گروه هکری جدید به نام Phemedrone Stealer، یک بدافزار جدید را توسعه داده اند که می‌تواند اطلاعات حساس کاربران را از جمله نام کاربری، رمز عبور، آدرس ایمیل و شماره تلفن آن‌ها را سرقت کند. این بدافزار از طریق ایمیل‌های فیشینگ توزیع می‌شود که حاوی یک لینک آلوده هستند. هنگامی که کاربر روی لینک کلیک می‌کند، بدافزار بر روی سیستم او بارگیری شده و شروع به جمع‌آوری اطلاعات می‌کند. بدافزار Phemedrone Stealer از چند تکنیک جهت سرقت اطلاعات استفاده می‌کند که یکی از این تکنیک‌ها، استفاده از جاسوس‌افزار است. این جاسوس‌افزار می‌تواند کلیدهای فشرده‌شده توسط کاربر را ثبت کند و از این طریق رمزهای عبور آن‌ها را به دست آورد.
تکنیک دیگری که بدافزار Phemedrone Stealer از آن استفاده می‌کند، استفاده از اسکنر پورت است. اسکنرِ پورت، می‌تواند پورت‌های باز را در یک رایانه شناسایی کند. در این مورد، اسکنرِ پورت به دنبال پورت‌های بازی می‌گردد که می‌تواند از آن‌ها جهت دسترسی به اطلاعات حساس استفاده کند. محققان یک نسخه اصلاح شده از بدافزار Phemedrone Stealer را که در یک حمله استفاده شده است، مورد تجزیه و تحلیل قرار دادند.
برای آلوده کردن قربانیان به این بدافزار، مهاجم از فایل‌های مخرب URL استفاده کرده است که در دیسکورد یا سرویس‌های ابری مانند FileTransfer.io نگهداری می‌شوند. برای فریب، از کوتاه‌کننده‌های لینک مانند shorturl.at نیز استفاده شده است تا فایل‌های مخرب را پشت آن‌ها پنهان کند. اگر کاربری به دلیل ناآگاهی یا فریب، فایل‌های مخرب را باز کند، منجر به اکسپلویت آسیب‌پذیری CVE-2023-36025 می‌شود.

شکل 1 سلسله آلودگی Phemedrone Stealer

بدافزار طیف وسیعی از برنامه‌ها و سرویس‌هایی که ممکن است در سیستم قربانی وجود داشته باشد را هدف قرار میدهد و اطلاعات خاصی را استخراج می‌کند :
•    مرورگرهای مبتنی بر Chromium: داده‌هایی مانند پسوردها، کوکی‌ها و اطلاعات Autofill ذخیره شده در برنامه‌هایی مانند LastPass، KeePass، NordPass، Google Authenticator، Duo Mobile و Microsoft Authenticator را به سرقت می‌برد.
•    کیف پول ارزهای دیجیتال: فایل‌های حساس را از برنامه‌های کیف پول ارزهای دیجیتالی مانند Armory، Atomic، Bytecoin، Coninomi، Jaxx، Electrum، Exodus و Guarda به سرقت می‌برد.
•    دیسکورد: توکن‌های احراز هویت را به سرقت می‌برد که امکان دسترسی غیرمجاز به اکانت را فراهم می‌کند.
•    FileGrabber: بدافزار از این سرویس جهت جمع‌آوری فایل‌ها از پوشه‌های خاصی مانند Documents و Desktop استفاده می‌کند.
•    FileZilla: جزییات اتصال و اعتبارنامه‌های FTP را از این برنامه به سرقت می‌برد.
•    Gecko: مرورگرهای مبتنی بر Gecko را مورد هدف قرار می‌دهد.
•    اطلاعات سیستم: جزییاتی از سیستم، مانند موقعیت مکانی، مشخصات سخت‌افزاری و اطلاعاتی از سیستم عامل را جمع‌آوری می‌کند. همچنین امکان گرفتن اسکرین‌شات را هم دارد.
•    Steam: امکان دسترسی به فایل‌های پلتفرم بازی Steam را دارد.
•    تلگرام: داده‌های کاربران در پوشه نصب برنامه از جمله فایل‌های مرتبط با احراز هویت در tdata را استخراج می‌کند. این فایل‌ها را هم می‌تواند براساس سایز یا الگوی نام‌گذاری جستجو کند.
بدافزار از یک متد سفارشی با عنوان RuntimeResolver.GetInheritedClasses<IService>() جهت پیدا کردن زیر کلاس‌های IService بصورت داینامیک استفاده می‌کند. این متد از reflection جهت اسکن Assembly استفاده می‌کند. سرویس‌ها براساس سطوح اولویت خودشان، گروه‌بندی می‌شوند که به آن‌ها این امکان را خواهد داد تا با ترتیب خاصی پردازش شوند. برای هر سرویس در لیست گروه‌بندی شده، بدافزار یک Thread جدید ایجاد و استارت می‌کند. این کار به هر سرویسی این امکان را می‌دهد تا متد Run خودش را بصورت همزمان شروع و متد Collect تعریف شده در هر سرویس را اجرا کند.

•    C2 برای استخراج داده
پس از اجرای همه‌ی رشته‌ها، کد از طریق سرویس‌ها دوباره اجرا می‌شود و داده‌های جمع‌آوری‌شده توسط هر سرویس را جمع‌آوری می‌کند. سپس از کلاس‌های MemoryStream و ZipStorage برای مدیریت و فشرده‌سازی این اطلاعات استفاده می‌کند. MemoryStream یک بافر درون‌حافظه‌ای انعطاف‌پذیر است که می‌تواند داده‌ها را به‌صورت موقت ذخیره کند و امکان مدیریت سریع و کارآمد اطلاعات را بدون نیاز به عملیات I/O دیسک می‌دهد. سپس ZipStorage برای فشرده‌سازی مستقیم داده‌های داخل MemoryStream، در قالب فایل ZIP استفاده می‌شود. شکل  2 نشان‌دهنده اجرای داینامیک سرویس‌هاست.
 

ادامه مطلب...