عملیات هکرهای ویتنامی برای سرقت داده از طریق تلگرام

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، این بخشی از یک کمپین فعال جرایم سایبری است که از پلتفرم پیام‌رسان تلگرام برای خودکارسازی فروش مجدد اطلاعات سرقتی استفاده می‌کند.

طبق گزارش‌های جدید از آزمایشگاه امنیتی بیزلی (Beazley Security Labs) و آزمایشگاه سنتینل (SentinelLabs)، مهاجمان از بدافزار مبتنی بر پایتون به نام پی ایکس ای استیلر (PXA Stealer) استفاده کرده‌اند تا رمزهای عبور، اطلاعات مالی، کوکی‌های مرورگر و داده‌های کیف پول‌های رمزارزی را از دستگاه‌های آلوده در حداقل ۶۲ کشور از جمله ایالات متحده، کره جنوبی، هلند، اتریش و مجارستان جمع‌آوری کنند.

پژوهشگران اعلام کردند که این کمپین با سرعت در حال تحول است و افزودند:

پی ایکس ای استیلر و عاملان تهدید پشت آن، به طور مداوم اکوسیستم بزرگ‌تر بدافزارهای سرقت اطلاعات را تغذیه می‌کنند.

آن‌ها چندین ربات تلگرامی با نام‌هایی به زبان ویتنامی شناسایی کردند که به یک کانال مرکزی به نام @Lonenone متصل بودند؛ کانالی که همراه با ایموجی پرچم ویتنام، در گزارش‌های قبلی با عاملان تهدید ویتنامی مرتبط شده بود.

در یک کمپین قبلی که توسط سیسکو تالوس (Cisco Talos) شرح داده شد، هکرهای مرتبط با ویتنام از همین بدافزار برای هدف قرار دادن نهادهای دولتی و آموزشی در اروپا و آسیا استفاده کرده بودند.

بیزلی و سنتینل در لاگ‌های سرقت‌شده بیش از ۴ هزار آدرس آی پی قربانی منحصربه‌فرد شناسایی کردند.

هکرها بیش از ۲۰۰ هزار رمز عبور، صدها رکورد کارت اعتباری و بیش از ۴ میلیون کوکی مرورگر را استخراج کرده‌اند؛ کوکی‌هایی که می‌توانند برای ربودن حساب‌های آنلاین و سرقت پول استفاده شوند.

مهاجمان طعمه‌های فیشینگ ارسال می‌کردند که کاربران را فریب می‌داد تا نرم‌افزارهایی ظاهراً قانونی مانند مایکروسافت ورد 2013 یا هایهایسافت پی دی اف ریدر (Haihaisoft PDF Reader) را دانلود کنند، که همراه با فایل‌های آلوده بودند.

در یکی از موج‌های اخیر در ماه ژوئیه، مهاجمان از یک فایل اجرایی امضاشده‌ی مایکروسافت ورد استفاده کردند که به شکل سندی با هشدار جعلی نقض حق نشر ارائه شده بود.

این طعمه حاوی پیوند مخرب نبود، احتمالاً برای عبور از فیلتر ابزارهای امنیتی.

پس از نصب، پی ایکس ای استیلر طیف وسیعی از اطلاعات را جمع‌آوری می‌کند؛ از جمله داده‌های کیف پول دیجیتال، کلاینت‌های وی پی ان، اپلیکیشن‌هایی مانند ئیسکورد (Discord) و خدمات اشتراک‌گذاری ابری.

این اطلاعات به صورت فایل زیپ فشرده شده و از طریق سرویس کلاود فلیر ورکرز (Cloudflare Workers) به کانال‌های ربات تلگرام ارسال می‌شوند.

پژوهشگران اعلام کردند که سوءاستفاده از کلاود فلیر ورکرز را به شرکت اطلاع داده‌اند و کلاود فلیر بلافاصله اقدامات لازم برای مختل کردن زیرساخت مهاجمان را انجام داد.

هکرها از این کمپین سود می‌برند، زیرا اطلاعات سرقت‌شده را وارد سرویس‌های اشتراکی تلگرامی می‌کنند که فروش خودکار داده‌ها به سایر مجرمان را ممکن می‌سازد.

به گفته پژوهشگران، سرویس‌هایی مانند شرلاک (Sherlock)، دیزی کلاود (Daisy Cloud) و مون کلاود (Moon Cloud) داده‌ها را «برای فروش آماده» می‌کنند تا توسط تهدیدگرانی که در زمینه کلاهبرداری مالی، سرقت رمزارز یا نفوذ به سازمان‌ها تخصص دارند، استفاده شوند.

پژوهشگران تأکید کردند که این عملیات نمایانگر روند گسترده‌تری است که در آن خدمات مشروع مانند تلگرام در مقیاسی وسیع توسط مجرمان سایبری برای سرقت و کسب درآمد از داده‌ها مورد سوءاستفاده قرار می‌گیرند.

آن‌ها افزودند:

ویژگی توسعه‌پذیر بودن تلگرام همراه با نگرش بی‌تفاوت این شرکت نسبت به جرایم سایبری، نقش حیاتی تلگرام در اکوسیستم جامع جرایم سایبری را برجسته می‌کند.