تخفیف چند مجوز
Threat Database Remote Administration Tools موش کور رنگی

موش کور رنگی

تا Mezo در Remote Administration Tools, Malware
ترجمه به:
فارسی

محققان امنیت سایبری یک بسته تهدیدآمیز پایتون را کشف کرده‌اند که در فهرست بسته پایتون (PyPI) آپلود شده است که حاوی یک دزد اطلاعات مضر و تروجان دسترسی از راه دور (RAT) است. این بسته "colourfool" نام داشت و توسط یک تیم تحقیقاتی امنیتی شناسایی شد که خود تهدید بدافزار را "Color-Blind" نامید.

این حادثه روند رو به رشد جرایم سایبری دموکراتیک شده را برجسته می کند، جایی که بازیگران بد فکر می توانند به راحتی به کدهای موجود دسترسی داشته باشند و برای اهداف خود از آن استفاده کنند. محققان توضیح دادند که دموکراتیک کردن جرایم آنلاین می‌تواند منجر به تشدید چشم‌انداز تهدید شود، زیرا مهاجمان می‌توانند انواع مختلفی از بدافزار خود را با استفاده از کدهای منبع‌دهی شده از دیگران ایجاد کنند.

مانند دیگر ماژول‌های سرکش پایتون، Color-Blind از تکنیکی برای پنهان کردن کد بد خود در اسکریپت راه‌اندازی استفاده می‌کند. سپس اسکریپت راه‌اندازی به یک بار بایگانی ZIP اشاره می‌کند که در پلتفرم قانونی Discord میزبانی می‌شود. این به بدافزار اجازه می‌دهد تا با برخی اقدامات امنیتی سنتی از شناسایی فرار کند و شناسایی و حذف آن را دشوارتر می‌کند.

موش کور رنگی رمز بازی "مار" را دارد

این بدافزار از مکانیزم ماندگاری استفاده می کند که شامل اضافه کردن یک اسکریپت ویژوال بیسیک (VB) به نام Essentials است. vbs به پوشه Start Up در منوی Start کاربر. پس از ورود به سیستم، اسکریپت VB یک فایل دسته ای ویندوز را اجرا می کند که بدافزار در همان پوشه "python.exe" تزریق می کند. این فایل دسته‌ای بدافزار را با استفاده از پایتون راه‌اندازی می‌کند و هر بار که کاربر وارد سیستم می‌شود، اطمینان حاصل می‌کند که بدافزار در سیستم فعال و موجود است.

این بدافزار دارای یک تابع حذف فایل است که از «transfer[.]sh» یک وب‌سایت انتقال فایل ناشناس استفاده می‌کند که به طور فزاینده‌ای در بین عوامل تهدید محبوب است. این بدافزار همچنین حاوی کد مربوط به مهندسی اجتماعی است که یک پیام خطایی ایجاد می کند که سعی می کند کاربر را متقاعد کند که بدافزار را مجدداً به عنوان مدیر اجرا کند. علاوه بر این، این بدافزار حاوی یک نسخه جاسازی شده از بازی 'Snake' است که به نظر می رسد یک کپی مستقیم از کد از یک مخزن GitHub باشد. با این حال، این بازی هیچ هدف ظاهری را دنبال نمی کند و هنگام اجرا شروع نمی شود.

این بدافزار چندین فرآیند فرعی را راه‌اندازی می‌کند که شامل رشته‌هایی برای جمع‌آوری کوکی‌ها، رمزهای عبور و کیف پول‌های ارزهای دیجیتال است. برای فعال کردن کنترل از راه دور، بدافزار یک برنامه وب Flask را راه اندازی می کند. سپس این تهدید برنامه را از طریق ابزار تونل معکوس Cloudflare به نام "cloudflare" در دسترس اینترنت قرار می دهد. با استفاده از این روش، بدافزار می تواند قوانین فایروال ورودی را دور بزند و حضور دائمی در سیستم در معرض خطر را حفظ کند.

مجموعه گسترده ای از قابلیت های تهدید آمیز موجود در موش صحرایی کوررنگ

Color-Blind RAT و عملکردهای مضر مختلف آن را می توان از طریق برنامه وب کنترل کرد. عملکرد توکن‌ها می‌تواند توکن‌های ورود را برای چندین برنامه که از کروم از طریق electron.io یا کرومیوم مستقیماً به عنوان چارچوب برنامه استفاده می‌کنند، که شامل Discord می‌شود، خالی کند. عملکرد گذرواژه ها رمزهای عبور استخراج شده را از مرورگرهای وب به صفحه نمایش می دهد، در حالی که عملکرد کوکی ها همه کوکی های مرورگر را روی صفحه نمایش می گذارد. عملکرد کلیدها داده‌های گرفته شده را به ثبت‌کنندگان کلید می‌فرستد و روی صفحه نمایش می‌دهد.

از جمله قابلیت های RAT نیز می توان به عملکرد برنامه ها اشاره کرد که لیستی از برنامه های فعال فعلی و دکمه ای برای پایان دادن به آنها ارائه می دهد. تابع داده dump تمام داده های گرفته شده را به URL C2 ارسال می کند. عملکرد صفحه نمایش تصویری از دسکتاپ کاربر را نشان می دهد و امکان تعامل ابتدایی مانند فشار دادن کلید را فراهم می کند. این تهدید همچنین می تواند اطلاعات IP را جستجو کرده و با استفاده از یک عملکرد متفاوت روی صفحه نمایش دهد. می تواند یک مرورگر را به یک صفحه وب معین باز کند و دستورات را از طریق سیستم عامل اجرا کند. اطلاعات کیف پول ارزهای دیجیتال را می توان از طریق عملکرد فانتوم/متاماسک از دستگاه نقض شده جمع آوری کرد.

با این حال، Color-Blind RAT می‌تواند حتی اقدامات بیشتری را روی سیستم‌های آلوده انجام دهد، مانند استفاده از نقطه پایانی /camera برای جاسوسی از یک کاربر ناآگاه از طریق یک دوربین وب. همچنین نقاط پایانی مختلفی وجود دارد که با «hvnc» شروع می‌شود، که با دسکتاپ مخفی ایجاد شده در دستگاه قربانی سروکار دارد. تابع /hvncmanager اجازه می دهد تا یک مرورگر وب در این دسکتاپ مخفی راه اندازی شود. تابع /hvnc برای باز کردن دسکتاپ مخفی استفاده می شود و به عوامل تهدید اجازه می دهد تا با آن تعامل داشته باشند. توانایی باز کردن یک مرورگر وب در چنین روشی پنهان می تواند توسط عوامل تهدید برای دسترسی یا تعامل با حساب های اینترنتی قربانی مورد سوء استفاده قرار گیرد. تابع /hvncitem مهاجمان را قادر می سازد تا دستورات سفارشی را روی دسکتاپ مخفی از طریق دستکاری پارامتر URL 'start' اجرا کنند.

پرطرفدار

پربیننده ترین

کلاهبرداری ایمیل "جوخه گیک".

Phishing, Spam
15,882
Geek Squad، ارائه دهنده پشتیبانی فنی محبوب، قربانی یک کلاهبرداری فیشینگ به نام Geek Squad Email Scam شده است. این کلاهبرداری با پشتیبانی فنی از ایمیل‌های جعلی استفاده می‌کند که افراد را فریب می‌دهد تا اطلاعات شخصی خود مانند جزئیات کارت اعتباری، آدرس ایمیل و حتی شماره‌های تامین اجتماعی را در اختیار دیگران قرار دهند. در این مقاله، ما در مورد خود کلاهبرداری، ظاهر آن، از کجا ایمیل های جعلی، خواسته...
بارگذاری...