بدافزار InnfiRAT

بدافزار InnfiRAT اطلاعات کیف‌پول ارز دیجیتالی شما می‌دزدد!

محققان یک تروجان جدید را کار آن دزدیدن داده‌های مرتبط با ارز دیجیتالی است، کشف کرده‌اند. این تروجان که InnfiRAT نام دارد بدافزاری است که بسیاری از کارکردهای تروجان استاندارد را دارد، اما به‌طور ویژه بر روی سیستم‌های آلوده کمین می‌کند تا گواهینامه‌های کیف‌پول ارز دیجیتال را به سرقت ببرد.

یکی از شرکت‌های ارز دیجیتال به نام zScaler در وب‌سایت خود گفته است که InnfiRAT در NET. نوشته شده است و بسیار احتمال دارد که از طریق ایمیل‌های فیشینگ که شامل پیوست‌ها یا لینک‌های دانلود مخرب هستند، انتشار داده بشود.

این بدافزار به محض ورود به سیستم آسیب‌پذیر، یک کپی از خودش را می‌سازد و آن را در دایرکتوری AppData مخفی می‌کند. سپس با نوشتن یک فایل اجرایی رمزگشایی‌شده Base64 در حافظه، کارکردهای اصلی یک تروجان را اجرا می‌کند.

بدافزار InnfiRAT

InnfiRAT ابتدا نشان‌گرهای موجود در یک محیط سندباکس را بررسی خواهد کرد. سندباکس، ست‌آپ رایجی است که توسط محققین ارز دیجیتال برای مهندسی معکوس بدافزارها مورد استفاده قرار می‌گیرد. اگر این نشان‌گرها پیدا بشوند، بدافزار به کار جستجو پایان خواهد داد، در غیر این صورت دوباره اجرا خواهد شد.

بدافزار مذکور، داده‌های سیستمی دستگاه شامل نام کشوری که در آن قرار دارد، نوع پردازنده و همچنین نام، سازنده و اندازه کش پی‌سی را بر‌می‌دارد. سپس با سرور فرماندهی و کنترل خود ارتباط برقرار خواهد کرد و اطلاعات دزدیده شده را به آن ارسال کرده و منتظر دستورالعمل‌های بعدی خواهد ماند.

در میان این دستورالعمل‌ها، یک دستور مربوط به تهیه لیستی از همه پردازش‌های در حال اجرا بر روی سیستم آلوده می‌شود؛ پردازش‌هایی که شامل رشته‌های “chrome” ،”browser” ،”firefox” و “opera” هستند. بدافزار همه پردازش‌هایی را که با این رشته‌ها ارتباط داشته باشند، متوقف خواهد کرد.

علاوه بر این، InnfiRAT می‌تواند بدافزارهای اضافه‌تری را پیاده‌سازی کند، فایل‌ها را بدزدد و کوکی‌های مرورگر را برای دسترسی به اسم کاربری و پسورد‌ گواهینامه‌ها به سرقت ببرد. این تروجان همچنین می‌تواند از نشست‌های باز (open sessions) اسکرین‌شات بگیرد و پردازش‌های آنتی‌ویروس‌ دستگاه را قطع کند.

بدافزار InnfiRAT به منظور جستجوی ارزهای دیجیتال، اطلاعات مرتبط با آنها شامل کیف‌پول‌های بیت‌کوین و لایت‌کوین را با چک کردن مسیرهای %AppData%\Litecoin\wallet.dat و %AppData%\Bitcoin\wallet.dat، اسکن خواهد کرد. بدافزار در صورت وجود این اطلاعات، همه آنها را استخراج می‌کند تا به کمک آنها از کیف‌پول‌های مذکور سرقت کند.

ارز دیجیتال، همچنان یک کانال پرسود برای مجرمان سایبری است تا از این طریق به پول‌های نامشروع زیادی دست یابند و InnfiRAT هم تنها یکی از بدافزارهای بسیاری است که این‌روزها از ماژول‌های سرقت ارز دیجیتال بهره می‌برند.

یکی دیگر از این بدافزارها، PsiXBot است که اخیرا با به‌روزرسانی خود، DNS گوگل در سرویس HTTPS را نیز شامل شده و به‌محض راه‌یافتن به دستگاه هدف، کلیپ‌بوردهای آن را برای پیدا کردن گواهینامه‌های کیف‌پولی که در خرید بیت‌کوین، اتریوم، مونرو و ریپل، مورد استفاده قرار می‌گیرند، چک می‌کند. مورد جالب دیگری از این نوع بدافزارها، Bird Miner است که هنگام اجرای XMRig، از روش کار لینوکس بر روی دستگاه‌های مک‌بوک تقلید می‌کند. این بدافزار، کنترل قدرت سی‌پی‌یو دستگاه قربانی را به دست می‌گیرد تا به‌طور مخفیانه ارز مونرو را استخراج کند و سود آن را به کیف‌پول‌هایی که توسط اپراتورهای خودش کنترل می‌شود، بفرستد.

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

به بالا بروید
TCH