این بدافزار سارق رمزهای عبور که طی سالهای اخیر محبوبیت بالایی پیدا کرده و برای مدیریت سرور کنترل و فرماندهی خود از تلگرام بهرهجویی میکند. به گفته محققان، بسیاری از هکرها برای گسترش دامنه حملاتشان، از روشهای نوینی برای انتشار بدافزارها استفاده میکنند.
بدافزار سارق راکون برای اولین بار در آوریل ۲۰۱۹ مشاهده شد. جدیدترین نسخه آن میتواند سرور کنترل و فرماندهی خود را در زیرساختهای تلگرام ذخیره و بروزرسانی کند. به عقیده محققان با این قابلیت، هکرها میتوانند به یک سرور کنترل و فرماندهی قدرتمند دسترسی پیدا میکنند که میتوان آن را در کسری از ثانیه بروزرسانی کرد.
برخی از محققان بر این باورند که بدافزار فوق توسط مجرمان سایبری روسی بروزرسانی و نگهداری میشود. بدافزار راکون در اصل یک سارق رمز عبور است اما میتواند فعالیتهای مخرب دیگری نیز انجام دهد که عبارتند از:
- استخراج کوکیها
- اطلاعات لاگین ذخیره شده و تکمیل خودکار فرمها در مرورگر
- اطلاعات ورود به برنامههای مدیریت ایمیل و پیامرسانها
- فایلهای کیف پول دیجیتالی
- اطلاعات افزونهها و اکستنشنهای مرورگرها
- دسترسی به فایلهای تصادفی
تمامی فعالیتهای بالا، بر اساس دستورات دریافتی از سرور کنترل و فرماندهی صورت میگیرد.
علاوه بر این، راکون میتواند با دریافت دستور از سرور کنترل و فرماندهی، فایلهای مخرب را دانلود و اجرا کند. به گفته محققان آزمایشگاه تهدیدات آواست (Avast)، توسعه و انتشار فعال بدافزار سارق راکون در انجمنهای زیرزمینی، آن را به یک تهدید خطرناک تبدیل کردهاست.
استفاده از راکون بسیار آسان بوده و میتوان آن را به عنوان یک سرویس بدافزاری در اختیار دیگر مجرمان قرار داد، به همین علت به محض انتشار مورد توجه هکرها قرار گرفت. این بدافزار به راحتی میتواند اطلاعات حساس و خصوصی کاربران را استخراج کرده و سرعت درآمدزایی بالایی برای اپراتورهای آن دارد.
انتشار نوآورانه:
در اوایل، این بدافزار به صورت یک فایل .IMG از طریق یک حساب دراپباکس سرقت شده منتشر میگردید. فایل فوق از طریق ایمیل به شرکتهای اقتصادی و دیگر سازمانها ارسال میشد.
طبق یافتههای اخیر آواست، بدافزار سارق راکون امروزه با استفاده از روشهای بسیار نوآورانهای منتشر میشود. با توجه به اینکه راکون یک محصول بدافزار قابل فروش است، روشهای انتشار آن به قدرت تخیل خریدارانش بستگی دارد.
علاوه بر اینکه بدافزار فوق از طریق دو لودر متفاوت (Buer Loader و GCleaner) منتشر میشود، روشهای انتشار دیگری نیز برای آن ابداع شده است که از بین آنها مینان به کدهای تقلب جعلی، بروزرسانی نرمافزارهای کرک شده ، مودهای فورتنایت، ولورانت و NBA2k22 و دیگر بازیهای آنلاین اشاره کرد.
همچنین به گفته محققان، هکرها با برای دور زدن نرمافزاهای امنیتی، بدافزار خود را با روش بستهبندی مخفی سازی میکنند. در این روش، کدهای منبع برنامه به چند فایل تقسیم بندی میشود که در نهایت یک فایل قابل اجرا، آنها را به هم متصل کرده و به برنامه اصلی تبدیل میکند. در برخی موارد دیده شده که اپراتورها تا ۵ بار از یک برنامه بسته بندی برای دستیابی به هدفشان استفاده کردهاند.
سوءاستفاده از تلگرام برای مخفی سازی سرور کنترل و فرماندهی:
یافتههای محققان نشان میدهد که نسخههای جدید این بدافزار برای برقراری ارتباط با سرور کنترل و فرماندهی خود از تلگرام سوءاستفاده میکنند. برای برقراری ارتباط با سرور کنترل و فرماندهی، هر دستور دارای ۴ بخش حیاتی است که در همه بدافزارهای راکون کد نویسی شده است. این ۴ بخش عبارتند از:
- کلید اصلی: در طول سال فقط ۴ بار تغییر کرده است.
- آدرس دروازه تلگرام و نام کانال
- بات آیدی:یک رشته هگزادسیمال که در هر تماس به سرور کنترل و فرماندهی ارسال میشود.
- کلید تلگرام: کلیدی که برای رمزگشایی آدرس دریافتی از دروازه تلگرام استفاده میشود
سوءاستفاده از تلگرام برای دسترسی به سرور کنترل و فرماندهی از این طریق صورت میگیرد که ابتدا کلید اصلی آدرس تلگرام و بات آیدی را رمزگشایی میکند. سپس با استفاده از این دروازه و یک سری کوئری، آدرس سرور اصلی را مشخص کرده و آن را در زیرساخت تلگرام ذخیره میکند.
با دریافت دستورات مخرب بعدی از سرور، راکون میتواند بدافزارهای بیشتری نیز دانلود و بر روی سیستم قربانی نصب کند. شرکت آواست توانسته در مجموع ۱۸۵ فایل که توسط این بدافزار منتشر میشده را شناسایی کرده است. این فایلها شامل دانلودرها، استخراج رمزارز، باج افزار WhiteBlackCrypt و … میباشد.
پس از اینکه بدافزار راکون توانست به سیستم قربانی نفوذ کند، محدوده زمانی کاربر پیشفرض را بررسی کرده و اگر کاربر در محدودههای زیر باشد اجرا نمیشود: روسیه، اوکراین، بلاروس، قزاقستان، قرقیزستان، ارمنستان و ازبکستان.
با توجه به نکته فوق، محققان معتقدند عوامل توسعه دهنده بدافزار در محدودههای فوق قرار دارند و نمیخواهند خودشان نیز به بدافزار آلوده شود.
هنوز نظری ثبت نشده است. شما اولین نظر را بنویسید.