آسیا هدف نخست خانواده‌ی بدافزاری EvilGrab

به تازگی محققان شرکت امنیتی ترندمیکرو موفق به کشف یک خانواده‌ی بدافزاری جدید به نام EvilGrab شده‌اند که در حملات هدف‌مند از آن‌ها استفاده می‌شود. علت نام‌گذاری این خانواده‌ی بدافزاری تمایل آن در به چنگ آوردن اسکرین‌شات، تصویر و پرونده‌های صوتی از دستگاه‌های آلوده است. EvilGrab را می‌توان تحت خانواده‌های بدافزاری زیر دسته‌بندی نمود:

 

BKDR_HGDER

BKDR_EVILOGE

BKDR_NVICM

 

 

با توجه به بازخوردهای ارائه‌شده توسط Smart Protection Network می‌توان گفت که EvilGrab بیشتر در حوزه‌ی آسیا-اقیانوس آرام شایع است و بخش‌های دولتی عمده‌ی قربانی‌های آن را تشکیل می‌دهند.

 

 

رایج‌ترین شیوه برای انتشار بدافزار EvilGrab پیام‌های اسپیر-فیشینگی هستند که دربرگیرنده‌ی ضمیمه‌های مخرب مایکروسافت می‌باشند. به‌طور کلی پرونده‌های مخرب Word و صفحه‌گسترده‌های آلوده‌ی اکسل که شامل کد لازم جهت سوءاستفاده از آسیب‌پذیری CVE-2012-0158 هستند راهی مطلوب برای انتشار این تهدید نوظهور به شمار می‌روند.

 

 

EvilGrab دارای ۳ مؤلفه‌ی اصلی می‌باشد:

 

یک پرونده‌ی EXE. و دو پرونده‌ی DLL.

 

پرونده‌ی EXE. به عنوان یک نصب‌کننده برای همه‌ی اجزای EvilGrab عمل می‌کند؛ یکی از پرونده‌های DLL. به عنوان بارکننده‌ای برای پرونده‌ی دیگر به کار می‌رود، پرونده‌ی DLL. دوم هم مؤلفه‌ی در پشتی اصلی ماجراست. برخی گونه‌های EvilGrab پس از اتمام فرآیند نصب، پرونده‌ی EXE. را پاک می‌کنند و به این ترتیب از ردیابی خود به بهترین شکل ممانعت به عمل می‌آورند.

 

EvilGrab سعی می‌کند اطلاعات محرمانه‌ی ذخیره‌شده را از اینترنت اکسپلورر و  Outlook برباید. اطلاعات سری مربوط به این دو وب‌گاه و حساب‌های کاربری متعلق به آن‌ها از سوی مهاجمان هدف سرقت قرار می‌گیرند.

 

علاوه بر موارد مذکور EvilGab می‌تواند هرگونه پرونده‌ی صوتی یا تصویری پخش‌شده روی سامانه را با استفاده از رابط‌های برنامه‌نویسی کاربردی1 استاندرد ویندوز به چنگ بیاورد. EvilGrab قادر است در پوشش قابلیت در پشتی خود، به جمع‌آوری اسکرین‌شات و تهیه‌ی گزارشی از تمامی کلیدهای فشرده‌شده توسط صفحه‌کلید بپردازد. تمامی این موارد روی یک کارگزار راه دور ذخیره می‌شوند و به این طریق در دست‌رس مهاجمان قرار می‌گیرند.

 

 

EvilGrab چنانچه به نصب برخی برنامه‌های کاربردی خاص پی ببرد، رفتارهای منحصربه‌فردی را از خود به نمایش می‌گذارد. این بدافزار در وهله‌ی اول برای سرقت اطلاعات از Tencent QQ طراحی شده است؛ Tencent QQ یک نرم‌افزار پیام‌رسانی فوری چینی می‌باشد. EvilGrab به ربودن و بازگذاری کامل محتوای حافظه‌ی مورد استفاده توسط QQ می‌پردازد. این امر ممکن است منجر به افشای متن مکالمات و نیز اعضای موجود در فهرست مخاطبان کاربر شود.

 

EvilGrab تلاش می‌کند خود را در رویه‌ی پردازش محصولات امنیتی ویژه‌ی تزریق نماید. در صورت عدم دست‌رسی به چنین محصولات امنیتی، EvilGrab خود را در فرآیندهای استاندارد سامانه‌ی ویندوز تزریق می‌کند. ESET، کسپرسکی، و مک‌آفی توسط EvilGrab مورد حمله‌ی تزریق در فرآیند قرار گرفته‌اند.

 

 

EvilGrab دارای قابلیت‌های مبتنی بر در پشتی است که به یک مهاجم اجازه می‌دهند طیف گسترده‌ای از دستورات را در سامانه‌ی آلوده به بدافزار اجرا نماید. این دستورات موجب می‌شوند مهاجم کنترل کامل یک سامانه‌ی آلوده به EvilGrab را در اختیار بگیرد.

 

EvilGrab در بخشی از ترافیک مربوط به فرمان‌دهی و کنترل خود دارای دو شناسه‌ی مجزا می‌باشد، شناسه‌هایی که ممکن است به عنوان کدها یا ردیاب‌های کمپین‌های سایبری مورد استفاده قرار بگیرند. یکی از شناسه‌ها با مقادیر زیر رؤیت شده است:

 

006

007

0401

072002

3k-Ja-0606

3k-jp01

4k-lyt25

88j

e-0924

LJ0626

RB0318

فیلد دیگر با دو مقدار مشاهده شده است:

 

V2010-v16

V2010-v24

 

 

محققان ترندمیکرو متوجه شده‌اند مؤلفه‌ی در پشتی گونه‌هایی که دارای شناسه‌ی V2010-v24 هستند دارای سرآیند2 مناسب MZ/PE می‌باشند. در حالی که اغلب گونه‌هایی که شناسه‌ی V2010-v16 را در اختیار دارند، بخشی از سرآیند MZ/PE آن‌ها با رشته‌های «JPEG» جای‌نوشت شده است.