انتشار شده در تاریخ 1402/03/09 - 10:30

سرقت داده از مرورگرها و کیف پول‌های رمزارز توسط یک بدافزار جدید

محققان امنیت سایبری بدافزار جدیدی به نام راهزن دزد (Bandit Stealer) را برای سرقت اطلاعات شناسایی کرده اند که مرورگرها و کیف پول های ارزهای دیجیتال را هدف قرار می دهد.

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، اگرچه این بدافزار تاکنون فقط سیستم های ویندوز را هدف قرار داده است، اما پتانسیل گسترش آن به پلتفرم های دیگر مانند لینوکس را دارد.
محققان ترند میکرو (Trend Micro) در گزارشی که روز جمعه منتشر شد نوشتند آنچه که این بدافزار را به ویژه خطرناک می کند این است که تشخیص آن برای قربانیان دشوار است.
به عنوان مثال، بدافزار راهزن دزد می تواند محافظ ویندوز دیفندر (Windows Defender)، ابزار امنیتی توسعه یافته توسط مایکروسافت برای محافظت از کاربران در برابر انواع مختلف تهدیدات، از جمله ویروس ها، بدافزارها و نرم افزارهای جاسوسی را دور بزند.
طبق تبلیغات منتشر شده در جامعه بدافزار، توسعه دهندگان بدافزار راهزن دزد به طور مداوم در حال به روز رسانی ویژگی های بدافزار هستند:

آماده شوید، زیرا هفته آینده یک به روز رسانی بزرگ در راه است که سارقان دیگر را از آب بیرون خواهد کشید.

محققان ترند میکرو هیچ گروه هک فعال مرتبط با این بدافزار را شناسایی نکرده‌اند و مشخص نکرده‌اند که این گروه چگونه می‌تواند از اطلاعات سرقت شده استفاده کند.
با این حال، طبق گفته ترند میکرو، این گروه و مشتریانش به طور بالقوه می توانند از بدافزار برای فعالیت هایی مانند سرقت هویت، سرقت اطلاعات، حملات پر کردن اعتبار و تصاحب حساب کاربری استفاده کنند.

قابلیت های بدافزار
راهزن دزد با استفاده از زبان برنامه نویسی گو (Go) که به طور گسترده توسط گوگل مورد استفاده و توسعه قرار می گیرد، توسعه یافته است.
ترند میکرو می گوید که گو به بدافزار اجازه می دهد تا بر روی چندین سیستم عامل اجرا شود و از شناسایی شدن خود به نحو احسن جلوگیری کند.
به گفته ترند میکرو، اگرچه بدافزار راهزن دزد خود را به عنوان پیشرفته ترین دزد اطلاعات در بازار تبلیغ می کند، اما شباهت های زیادی با سارقان دیگر از جمله سیریل استیلر (Creal Stealer)، لونا گربر (Luna Grabber)، کیوکو کوکی استیلر (Kyoku Cookie stealer) و پگاسوس استیلر (Pegasus Stealer) دارد.
این بدافزار می تواند طیف گسترده ای از مرورگرهای اینترنتی را هدف قرار می دهد و می تواند انواع مختلفی از داده های قربانیان، از جمله نام کاربری، آی پی های فعلی، اطلاعات هارد دیسک، اطلاعات دقیق در مورد رایانه قربانی و کد کشور مرتبط با آدرس آی پی را به سرقت ببرد.
همچنین می‌تواند امنیت برنامه پیام‌رسان تلگرام قربانی را که در میان علاقه‌مندان به ارزهای دیجیتال محبوب است، به خطر بیندازد.
هنگامی که راهزن دزد به تلگرام دسترسی غیرمجاز پیدا کند، می تواند هویت کاربر در معرض خطر را جعل کند و به طور بالقوه دیگران را فریب دهد.
مهاجمان همچنین می توانند به پیام های خصوصی و داده های مرتبط با حساب کاربری در معرض خطر تلگرام دسترسی داشته باشند.
بدافزار راهزن دزد پایدار است؛ هر بار که رایانه آلوده راه اندازی یا راه اندازی مجدد می شود، اجرا می شود، به این معنی که حتی پس از خاموش شدن سیستم، بدافزار همچنان می تواند کار کند و داده ها را از سیستم قربانی بدزدد.
طبق گفته ترند میکرو، قربانیان می توانند ناخواسته راهزن دزد را هنگام بازدید از وب سایت های مخرب یا از طریق ایمیل های فیشینگ دانلود کنند.
این بدافزار یک سند ورد (Word) را در رایانه قربانی باز می کند و کاربر را فریب می دهد تا یک فایل به ظاهر بی ضرر را باز کند.
یکی از اسنادی که ترند میکرو به دست آورد، یادداشتی بود که در آن نگرانی‌هایی درباره عملکرد شغلی قربانی بیان می‌کرد.
بدافزار راهزن دزد همچنین می تواند وانمود کند که یک نصب کننده جعلی برای برنامه ای به نام هارت سندر (Heartsender) است که معمولاً برای ارسال ایمیل خودکار در تبلیغات و بازاریابی استفاده می شود.