هشدارهای افتایی
تروجان جدیدی با نام SectopRAT در حال انتشار است که با اجرای یک دسکتاپ مخفی صفحات فراخوانی شده در مرورگر دستگاه را در اختیار می‌گیرد.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، این بدافزار که اولین بار در 24 آبان ماه گروه MalwareHunterTeam از انتشار آن خبر داد با زبان برنامه‌نویسی #C نوشته شده است. تاریخ کامپایل نمونه مورد بررسی توسط MalwareHunterTeam به دو روز قبل از آن، یعنی 22 آبان باز می‌گردد. این نمونه توسط Sectigo RSA امضا شده و نشان (Icon) آن برگرفته از نشان نرم‌افزار Flash گزارش شده است. 
نمونه‌ای دیگر از SectopRAT که شرکت جی‌دیتا به آن پرداخته در 23 آبان کامپایل شده و بر خلاف نمونه MalwareHunterTeam، فاقد هر گونه امضاست. نشان نمونه دوم نیز تصویری شبیه یک فلاپی قرمز رنگ گزارش شده است.
هر دوی این نمونه‌ها داری عملکرد تروجان دسترسی از راه دور (Remote Access Trojan) بوده و با ایجاد یک دسکتاپ مخفی اقدام به اجرای مرورگر مورد نظر خود با دسترسی کامل می‌کند.
SectopRAT شامل کلاسی (Class) با نام RemoteClient.Config است که در آن چهار متغیر با نام‌های IP، retip، filename و mutexName قابل پیکربندی است. متغیر IP در کلاس مذکور به نشانی سرور فرماندهی (C2) بدافزار اشاره دارد؛ متغیر retip نیز با هدف معرفی نشانی IP سرور فرماندهی جدید طراحی شده و از طریق فرمان setIP مقداردهی می‌شود. دو متغیر دیگر (filenme و mutexName) گر چه مقداردهی شده‌اند اما در جریان اجرای بدافزار از آنها استفاده نمی‌شود.
 

بدافزار نسخه‌ای از خود را با نام spoolsvc.exe در مسیر LOCALAPPDATA%\Microsoft% کپی کرده و در ادامه با ایجاد یک کلید در مسیر زیر در محضرخانه (Registry) و اشاره به فایل مذکور خود را بر روی دستگاه قربانی ماندگار می‌کند. 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SFddg
دلیل انتخاب نام spoolsvc گمراه کردن کاربر به جهت شباهت نزدیک آن به پروسه معتبر spoolsv.exe (سرویس Print Spooler Service) است.
به‌محض برقراری ارتباط با سرور فرماندهی، تروجان، فرامینی به منظور برقرای یک نشست (Session) دسکتاپ فعال یا ایجاد دسکتاپی دوم (با نام sdfsddfg) اجرا می‌شود. برای مثال، با استفاده از فرمان Init browser یک نشست مرورگر از طریق دسکتاپ دوم راه‌اندازی می‌شود.
این بدافزار توانایی اجرای هر کدام از مرورگرهای Chrome، Firefox و Internet Explorer را داراست. همچنین قادر است تا تنظیمات مرورگر را تغییر داده و تنظیمات امنیتی آن را به‌نحوی مورد دست‌درازی قرار دهد که موجب کاهش کنترل‌های آن‌ها شود. با این حال، مسیرهایی که در کد بدافزار به فایل مرورگرها اشاره می‌کنند عباراتی ثابت و نه متغیرهای موسوم به محیطی (Environment Variable) هستند و بنابراین اگر مرورگر در مسیری غیرپیش‌فرض نصب شده باشد عملاً بدافزار در اجرای آن ناکام می‌ماند.
از دیگر توانایی‌های این بدافزار ارسال اطلاعاتی همچون عنوان سیستم عامل، داده‌های پردازشگر، اطلاعات ذخیره شده در سطح هسته سیستم عامل و متغیرهای مورد استفاده در حافظه RAM است.
SectopRAT با استفاده از ConfuserEx که ابزاری کد باز (Open-source) برای حفاظت از کدهای توسعه داده شده در بستر NET. است مبهم‌سازی (Obfuscate) شده است.
در این بدافزار فرمانی با نام Get codec info لحاظ شده که در نمونه‌های مورد بررسی اقدامی توسط آن صورت نمی‌پذیرد. یافته‌ای که سبب شده محققان را به این باور برساند که SectopRAT همچنان در حال توسعه بوده و نسخه نهایی آن هنوز عرضه نشده است.
صرف‌نظر از اشکالات ناشیانه‌ای نظیر عدم بکارگیری متغیرهای محیطی در شناسایی مسیر مرورگرها، ساخت دسکتاپ دوم و تغییر فایل‌های تنظیمات مرورگر از حرفه‌ای بودن نویسنده یا نویسندگان این بدافزار حکایت دارد. موضوعی که فرضیه آزمایشی بودن دو نمونه شناسایی شده اخیر را تقویت می‌کند. 

نشانه‌های آلودگی (IoC):
هش:
b1e3b5de12f785c45d5ea3fc64412ce640a42652b4749cf73911029041468e3a
4409d2170aa9989c6a8dd32b617c51a7c3e328b3c86410813c016691b2bd7774
d5a3d47e1945e9d83a74a96f02a0751abd00078ee62e6d3a546a050e0db10d93
URL:
hxxp://45.142.213.230/blad.exe
hxxp://45.142.213.230/bssd.exe


منابع:

 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.