محققان یک تروجان جدید را کار آن دزدیدن دادههای مرتبط با ارز دیجیتالی است، کشف کردهاند. این تروجان که InnfiRAT نام دارد بدافزاری است که بسیاری از کارکردهای تروجان استاندارد را دارد، اما بهطور ویژه بر روی سیستمهای آلوده کمین میکند تا گواهینامههای کیفپول ارز دیجیتال را به سرقت ببرد.
یکی از شرکتهای ارز دیجیتال به نام zScaler در وبسایت خود گفته است که InnfiRAT در NET. نوشته شده است و بسیار احتمال دارد که از طریق ایمیلهای فیشینگ که شامل پیوستها یا لینکهای دانلود مخرب هستند، انتشار داده بشود.
این بدافزار به محض ورود به سیستم آسیبپذیر، یک کپی از خودش را میسازد و آن را در دایرکتوری AppData مخفی میکند. سپس با نوشتن یک فایل اجرایی رمزگشاییشده Base64 در حافظه، کارکردهای اصلی یک تروجان را اجرا میکند.
InnfiRAT ابتدا نشانگرهای موجود در یک محیط سندباکس را بررسی خواهد کرد. سندباکس، ستآپ رایجی است که توسط محققین ارز دیجیتال برای مهندسی معکوس بدافزارها مورد استفاده قرار میگیرد. اگر این نشانگرها پیدا بشوند، بدافزار به کار جستجو پایان خواهد داد، در غیر این صورت دوباره اجرا خواهد شد.
بدافزار مذکور، دادههای سیستمی دستگاه شامل نام کشوری که در آن قرار دارد، نوع پردازنده و همچنین نام، سازنده و اندازه کش پیسی را برمیدارد. سپس با سرور فرماندهی و کنترل خود ارتباط برقرار خواهد کرد و اطلاعات دزدیده شده را به آن ارسال کرده و منتظر دستورالعملهای بعدی خواهد ماند.
در میان این دستورالعملها، یک دستور مربوط به تهیه لیستی از همه پردازشهای در حال اجرا بر روی سیستم آلوده میشود؛ پردازشهایی که شامل رشتههای “chrome” ،”browser” ،”firefox” و “opera” هستند. بدافزار همه پردازشهایی را که با این رشتهها ارتباط داشته باشند، متوقف خواهد کرد.
علاوه بر این، InnfiRAT میتواند بدافزارهای اضافهتری را پیادهسازی کند، فایلها را بدزدد و کوکیهای مرورگر را برای دسترسی به اسم کاربری و پسورد گواهینامهها به سرقت ببرد. این تروجان همچنین میتواند از نشستهای باز (open sessions) اسکرینشات بگیرد و پردازشهای آنتیویروس دستگاه را قطع کند.
بدافزار InnfiRAT به منظور جستجوی ارزهای دیجیتال، اطلاعات مرتبط با آنها شامل کیفپولهای بیتکوین و لایتکوین را با چک کردن مسیرهای %AppData%\Litecoin\wallet.dat و %AppData%\Bitcoin\wallet.dat، اسکن خواهد کرد. بدافزار در صورت وجود این اطلاعات، همه آنها را استخراج میکند تا به کمک آنها از کیفپولهای مذکور سرقت کند.
ارز دیجیتال، همچنان یک کانال پرسود برای مجرمان سایبری است تا از این طریق به پولهای نامشروع زیادی دست یابند و InnfiRAT هم تنها یکی از بدافزارهای بسیاری است که اینروزها از ماژولهای سرقت ارز دیجیتال بهره میبرند.
یکی دیگر از این بدافزارها، PsiXBot است که اخیرا با بهروزرسانی خود، DNS گوگل در سرویس HTTPS را نیز شامل شده و بهمحض راهیافتن به دستگاه هدف، کلیپبوردهای آن را برای پیدا کردن گواهینامههای کیفپولی که در خرید بیتکوین، اتریوم، مونرو و ریپل، مورد استفاده قرار میگیرند، چک میکند. مورد جالب دیگری از این نوع بدافزارها، Bird Miner است که هنگام اجرای XMRig، از روش کار لینوکس بر روی دستگاههای مکبوک تقلید میکند. این بدافزار، کنترل قدرت سیپییو دستگاه قربانی را به دست میگیرد تا بهطور مخفیانه ارز مونرو را استخراج کند و سود آن را به کیفپولهایی که توسط اپراتورهای خودش کنترل میشود، بفرستد.
