Typhon Stealer
تایفون یک تهدید دزدی است که می تواند اطلاعات محرمانه متعلق به قربانیان خود را به خطر بیاندازد و مشکلات بالقوه شدیدی را ایجاد کند. تهدید تایفون با استفاده از زبان برنامه نویسی سی شارپ نوشته شده است و نسخه های متعددی به عنوان بخشی از توسعه آن منتشر شده است. نسخه ها را می توان از نظر عملکردی به دو گروه مختلف تقسیم کرد. انواع قدیمیتر تایفون طیف وسیعتری از قابلیتهای تهدیدآمیز دارند، در حالی که نسخههای جدیدتر که بهعنوان Typhon Reborn یا TyphonReborn ردیابی میشوند، سادهتر و متمرکز بر جمعآوری دادهها هستند.
قابلیت های تهدید کننده
هنگامی که Typhon Stealer با موفقیت بر روی دستگاه مورد نظر مستقر شد، با جمع آوری اطلاعات اثر انگشت در مورد سیستم، عملیات خود را آغاز خواهد کرد. این تهدید جزئیات سخت افزار، نسخه سیستم عامل، نام دستگاه، نام کاربری، وضوح صفحه نمایش فعلی و غیره را جمع آوری می کند. علاوه بر این، بدافزار تلاش می کند تا رمزهای عبور Wi-Fi را استخراج کند، لیستی از فرآیندهای در حال اجرا را دریافت کند و آنتی نصب شده را اسکن کند. -ابزارهای امنیتی بدافزار تایفون می تواند کنترل دوربین های متصل را برای گرفتن عکس های دلخواه به عهده بگیرد. مهاجمان همچنین قادر به دستکاری سیستم فایل در دستگاه های نقض شده هستند.
قابلیتهای سرقت اطلاعات تایفون به آن اجازه میدهد تا طیف گستردهای از اطلاعات محرمانه را در معرض خطر قرار دهد. این تهدید می تواند داده ها را از برنامه های متعدد، مشتریان چت و پیام رسانی، VPN ها، برنامه های بازی و موارد دیگر استخراج کند. این می تواند تاریخچه مرور قربانیان، دانلودها، صفحات نشانک شده، کوکی ها، اعتبار حساب، شماره کارت اعتباری و سایر داده های ذخیره شده در مرورگر را جمع آوری کند. هکرها همچنین می توانند سعی کنند کیف پول های رمزنگاری شده را از افزونه های مرورگر Google Chrome یا Edge جمع آوری کنند.
نسخه های قدیمی تر تایفون
نسخه های قبلی تهدید به مجموعه متنوع تری از عملکردهای نفوذی مجهز شده بودند. Typhon توانست روالهای keylogging قوی و پیچیده ایجاد کند، که تنها زمانی فعال میشوند که قربانی از یک سایت بانکداری آنلاین یا صفحهای با محتوای محدود سنی بازدید کند. برای گرفتن پول از تراکنش های رمزنگاری، تایفون بر کلیپ بورد سیستم را به عنوان یک تهدید کلیپر نظارت می کند. اگر تشخیص دهد که قربانی یک آدرس کیف پول رمزنگاری شده را کپی کرده و ذخیره کرده است، تهدید آن را با یک آدرس جدید تحت کنترل هکرها جایگزین می کند.
بسته به اهداف مجرمان سایبری، میتوان به نسخههای قدیمیتر تایفون دستور داد تا منابع سختافزاری دستگاههای آلوده را ربوده و از آنها در عملیات استخراج رمزنگاری بهرهبرداری کنند. سیستمهای آسیبدیده از ظرفیت سختافزاری خود برای استخراج ارز دیجیتال انتخابی استفاده میکنند. برخی از نسخههای Typhon از پلتفرم Discord برای انتشار خود به شیوهای مشابه تهدیدات کرم سوء استفاده کردند.
