| در یک کمپین بدافزاری جدید، مهاجمان با بهرهبرداری از علاقه گیمرها به بازیهای مستقل و کمتر شناختهشده، بدافزارهایی برای سرقت اطلاعات کاربری بر روی سیستم قربانیان نصب میکنند. در این کمپین، بازیهایی با نامهای جعلی مانند “Baruda Quest”، “Warstorm Fire” و “Dire Talon” از طریق ویدیوهای تبلیغاتی حرفهای در YouTube و لینکهای دانلود در Discord تبلیغ میشوند. این تبلیغات وانمود میکنند که نسخههای اولیه و دسترسی زودهنگام به بازیهای محبوب هستند. پس از کلیک قربانی بر روی فایل موجود در Discord، فایل اجرا شده و یک پکیج NSIS (Nullsoft Installer) باز میشود که در پشت صحنه، بدافزار را نصب می کند. این بدافزار به زبان برنامه نویسی JavaScript میباشد. این بدافزار برای اجرا از فایل های اجرایی مبتنی بر Electron استفاده نموده که موجب میشود قبل از اجرای بد افزار Node.js در سیستم قربانی نصب شود. از دید آنتی ویروس ها، به دلیل اینکه این کد در قالب Electron و Node.js اجرا میشود، بخشی از یک نرم افزار عادی میباشد. بدافزار مورد استفاده در این کمپین از خانواده Fewer Stealer میباشد. این بدافزار دارای ویژگی های زیر میباشد:· در صورتی که منشا اجرا و کلیک از روی اندروید و یا سیستم عامل Mac باشد، کاربر را به وب سایت واقعی هدایت میکند. اما در صورتی که قربانی از سیستم عامل ویندوز استفاده نماید، بدافزار اجرا میشود.
برای مقابله با تحلیل فارنزیکی بدافزار، در صورتی که اجرا در محیط مجازی سازی به مانند VirtualBox، VMware باشد، بدافزار اجرا نمیشود. در صورت واقعی بودن سیستم قربانی، بدافزار مرور کروم را به صورت Headless Mode اجرا میکند. در این حالت مرورگر کروم بدون رابط گرافیکی اجرا می شود. به عبارت دیگر مرورگر در سیستم قربانی اجرا میشود ولی پنجره ای برای کاربر نشان داده نمیشود. سپس بدافزار کوکیها و اطلاعات ذخیرهشده را مستقیماً از حافظه فعال مرورگر استخراج میکند. با این روش سیستم رمزنگاری مرورگر و سیتم عامل را دور می زند. اطلاعات جمع آوری شده به صورت فایل ZIP در سایت های اشتراک گذاری به مانند، gofile.io ،file.io ، catbox.moe، tmpfiles.org را ذخیرده کرده و لینک دانلود را به سرور کنترل و فرمان (C2) ارسال می کند. اهداف سرقت اطلاعات در صورت اجرای موفق، بدافزار قادر است اطلاعات زیر را جمعآوری کند:
|
