بدافزار SnappyClient

SnappyClient یک بدافزار بسیار پیشرفته است که با زبان C++ نوشته شده و از طریق یک لودر معروف به HijackLoader توزیع می‌شود. این بدافزار به عنوان یک تروجان دسترسی از راه دور (RAT) عمل می‌کند و مجرمان سایبری را قادر می‌سازد تا کنترل سیستم‌های آسیب‌دیده را به دست گرفته و داده‌های حساس را استخراج کنند. این بدافزار پس از ورود به دستگاه، به یک سرور فرماندهی و کنترل (C2) متصل می‌شود تا دستورالعمل‌ها را دریافت کرده و عملیات مخرب را اجرا کند.

تکنیک‌های فرار و دستکاری سیستم

برای اینکه شناسایی نشود، SnappyClient در سازوکارهای امنیتی داخلی ویندوز اختلال ایجاد می‌کند. یک تاکتیک کلیدی شامل دستکاری رابط اسکن ضدبدافزار (AMSI) است که مسئول اسکن اسکریپت‌ها و کدها برای یافتن رفتارهای مخرب است. این بدافزار به جای اینکه به AMSI اجازه دهد تهدیدات را شناسایی کند، خروجی خود را طوری دستکاری می‌کند که فعالیت‌های مخرب بی‌خطر به نظر برسند.

این بدافزار همچنین به یک فهرست پیکربندی داخلی متکی است که رفتار آن را تعیین می‌کند. این تنظیمات تعیین می‌کنند که چه داده‌هایی جمع‌آوری شوند، کجا ذخیره شوند، چگونه پایداری حفظ شود و آیا اجرا تحت شرایط خاص ادامه یابد یا خیر. این پیکربندی تضمین می‌کند که بدافزار حتی پس از راه‌اندازی مجدد سیستم فعال باقی بماند.

علاوه بر این، SnappyClient دو فایل رمزگذاری شده را از سرورهای تحت کنترل مهاجم بازیابی می‌کند. این فایل‌ها در قالبی پنهان ذخیره می‌شوند و برای کنترل پویای عملکرد بدافزار در سیستم آلوده استفاده می‌شوند.

قابلیت‌های گسترده کنترل سیستم

SnappyClient به مهاجمان امکان کنترل عمیق بر دستگاه‌های آسیب‌دیده را می‌دهد. این بدافزار می‌تواند از صفحه نمایش اسکرین‌شات بگیرد و آنها را به اپراتورهای راه دور منتقل کند و بینش مستقیمی از فعالیت کاربر ارائه دهد. این بدافزار همچنین مدیریت کامل فرآیند را امکان‌پذیر می‌کند و به مهاجمان اجازه می‌دهد فرآیندهای در حال اجرا را نظارت، تعلیق، از سرگیری یا خاتمه دهند. علاوه بر این، از تزریق کد به فرآیندهای قانونی پشتیبانی می‌کند و به آن کمک می‌کند تا مخفیانه در سیستم فعالیت کند.

دستکاری سیستم فایل یکی دیگر از قابلیت‌های اصلی است. این بدافزار می‌تواند دایرکتوری‌ها را مرور کند، فایل‌ها و پوشه‌ها را ایجاد یا حذف کند و عملیاتی مانند کپی، انتقال، تغییر نام، فشرده‌سازی یا استخراج بایگانی‌ها، حتی آنهایی که با رمز عبور محافظت می‌شوند، انجام دهد. همچنین می‌تواند فایل‌ها را اجرا کرده و میانبرها را تجزیه و تحلیل کند.

عملکردهای سرقت داده‌ها و نظارت

یکی از اهداف اصلی SnappyClient، استخراج داده‌ها است. این برنامه شامل یک کی‌لاگر داخلی است که کلیدهای فشرده شده را ثبت کرده و داده‌های ضبط شده را برای مهاجمان ارسال می‌کند. فراتر از آن، طیف گسترده‌ای از اطلاعات حساس را از مرورگرها و سایر برنامه‌ها، از جمله اعتبارنامه‌های ورود به سیستم، کوکی‌ها، تاریخچه مرور، بوکمارک‌ها، داده‌های جلسه و اطلاعات مربوط به افزونه‌ها، استخراج می‌کند.

این بدافزار همچنین می‌تواند بر اساس فیلترهای تعریف‌شده توسط مهاجم مانند نام فایل‌ها یا مسیرها، فایل‌ها یا دایرکتوری‌های خاصی را جستجو و سرقت کند. علاوه بر استخراج، قادر به دانلود فایل‌ها از سرورهای راه دور و ذخیره آنها به صورت محلی در دستگاه آلوده است.

ویژگی‌های پیشرفته اجرا و بهره‌برداری

SnappyClient از روش‌های متعددی برای اجرای کدهای مخرب پشتیبانی می‌کند. این بدافزار می‌تواند فایل‌های اجرایی استاندارد را اجرا کند، کتابخانه‌های پیوند پویا (DLL) را بارگذاری کند یا محتوا را از فایل‌های بایگانی شده استخراج و اجرا کند. همچنین به مهاجمان اجازه می‌دهد پارامترهای اجرایی مانند دایرکتوری‌های کاری و آرگومان‌های خط فرمان را تعریف کنند. در برخی موارد، این بدافزار تلاش می‌کند تا کنترل حساب کاربری (UAC) را دور بزند تا به امتیازات بالاتری دست یابد.

از دیگر ویژگی‌های قابل توجه می‌توان به قابلیت راه‌اندازی جلسات پنهان مرورگر اشاره کرد که مهاجمان را قادر می‌سازد فعالیت‌های وب را بدون آگاهی کاربر رصد و دستکاری کنند. همچنین یک رابط خط فرمان برای اجرای دستورات سیستم از راه دور فراهم می‌کند. دستکاری کلیپ‌بورد یکی دیگر از عملکردهای خطرناک است که اغلب برای جایگزینی آدرس‌های کیف پول ارزهای دیجیتال با آدرس‌های کنترل‌شده توسط مهاجمان استفاده می‌شود.

برنامه‌های کاربردی و منابع داده هدفمند

SnappyClient برای استخراج اطلاعات از طیف وسیعی از برنامه‌ها، به ویژه مرورگرهای وب و ابزارهای ارز دیجیتال طراحی شده است.

مرورگرهای وب هدفمند عبارتند از:

مرورگر ۳۶۰، بریو، کروم، کوکاکولا، اج، فایرفاکس، اپرا، اسلیم‌جت، ویوالدی و واترفاکس

کیف پول‌ها و ابزارهای ارز دیجیتال هدفمند شامل موارد زیر هستند:

کوین‌بیس، متاماسک، فانتوم، ترون‌لینک، تراست‌والت
اتمیک، بیت‌کوین‌کور، کوینومی، الکتروم، اکسودوس، لجر لایو، ترزور سوئیت و واسابی

این هدف‌گیری گسترده، پتانسیل سرقت مالی و افشای اطلاعات اعتباری را به میزان قابل توجهی افزایش می‌دهد.

روش‌های توزیع فریبنده

SnappyClient عمدتاً از طریق تکنیک‌های فریبکارانه توزیع می‌شود که برای فریب کاربران جهت اجرای فایل‌های مخرب طراحی شده‌اند. یکی از روش‌های رایج شامل وب‌سایت‌های جعلی است که خود را به جای شرکت‌های مخابراتی قانونی جا می‌زنند. هنگام بازدید، این سایت‌ها به طور مخفیانه HijackLoader را روی دستگاه قربانی دانلود می‌کنند. در صورت اجرا، لودر SnappyClient را مستقر می‌کند.

یکی دیگر از تاکتیک‌های распространенный، استفاده از پلتفرم‌های رسانه‌های اجتماعی مانند X (که بیشتر با نام توییتر شناخته می‌شود) است. مهاجمان لینک‌ها یا دستورالعمل‌هایی را منتشر می‌کنند که کاربران را برای شروع دانلودها فریب می‌دهد و گاهی اوقات از تکنیک‌هایی مانند ClickFix استفاده می‌کنند. این اقدامات در نهایت منجر به اجرای HijackLoader و نصب بدافزار می‌شود.

خطرات و تأثیر عفونت

SnappyClient به دلیل مخفی بودن، تطبیق‌پذیری و قابلیت‌های گسترده‌اش، یک تهدید جدی امنیت سایبری محسوب می‌شود. پس از استقرار، مهاجمان را قادر می‌سازد تا فعالیت کاربر را رصد کنند، اطلاعات حساس را سرقت کنند، عملیات سیستم را دستکاری کنند و بارهای مخرب دیگری را اجرا کنند.

عواقب چنین آلودگی‌هایی می‌تواند شدید باشد، از جمله ربودن حساب، سرقت هویت، ضررهای مالی، آلودگی‌های مخرب بیشتر و اختلال در سیستم در درازمدت.