به گزارش کمال مهر به نقل از بایت؛ بسیاری از بدافزارهای سارق اطلاعاتی که ما در کشورمان با آنها برخورد میکنیم، بدافزارهای خارجی هستند.
اگر حساب کاربری گوگل یا یکی از شبکههای اجتماعی یک کاربر به دست سارقان اطلاعاتی بیفتد، به احتمال زیاد، منافعی از این اطلاعات برای سارقان حاصل میشود ولی حسابهای بانکی ریالی به خصوص در شرایط اخیر، منافع زیادی برای یک سارق اطلاعاتی خارجی نخواهد داشت.
این جاست که باید در مقابل سارقان اطلاعاتی ایرانی نگرانی بیشتری داشت، چرا که این نوع سارقها بیشترین سود را از سرقت اطلاعات یک کاربر ایرانی میبرند. اگر چه این نوع بدافزارها زیاد نیستند اما وجود دارند.
به تازگی مرکز ماهر از انتشار یک بدافزار ایرانی، موسوم به مارمولک خبر داده است؛ بدافزاری که یک Keylogger محسوب میشود و عبارات تایپ شده به وسیله صفحهکلید را از سیستمهایعامل ویندوز سرقت کرده و برای سارق ارسال مینماید.
به نقل از ماهر، حملات هدفمند از چندین مرحله تشکیل میشوند که به زنجیره قتل APT شناخته میشوند. مهاجمان به عنوان بخشی از فاز مسلح کردن خود، اغلب یک Payload را در یک فایل قرار میدهند.
این فایل پس از نصب، در فاز دستور و کنترل (C2) به مهاجم متصل میشود.
یک Payload بسیار معمول مورد استفاده بسیاری از بدافزارهای سرقت کلمه عبور، نرمافزار ثبت ضربات صفحه کلید (Keylogger) است.
هدف از ثبت ضربات صفحهکلید این است که ضربات صفحهکلید کاربر ضبط شده و اطلاعات اعتباری و لینکهای مورد استفاده او به منابع داخلی و خارجی جمعآوری گردد.
به تازگی یک بدافزار ایرانی ثبت ضربات صفحهکلید شناسایی شده است که بر اساس همین روش، به سرقت اطلاعات کاربران ایرانی و منطقه مشغول شده است.
نخستین ظهور این Keylogger به یک فروم در خاورمیانه باز میگردد.
اگر چه ممکن است برخی Keyloggerها، ضربات صفحهکلید را برای مقاصد قانونی ثبت نمایند اما این بدافزار قربانیان خود را با یک Payload پنهان گمراه میسازد.
به نظر میرسد که تولیدکننده این بدافزار، با قرار دادن آن در فروم مذکور، قصد حمله به سایر اعضا را داشته است.
این کار، یک روش کاملا مرسوم است که بسیاری از بدافزارنویسان در جهان برای منتشر کردن بدافزار خود، از آن بهره میبرند.
نویسندگان بدافزار معمولا برای جلوگیری از شناسایی شدن بدافزار خود، از ابزارهای ارزان و سادهای استفاده میکنند که بدافزار را با یک برنامه Runtime فشردهسازی یا رمزگذاری، تغییر میدهد. در این مورد خاص، فایلهای مرتبط توسط یک نسخه تغییر یافته از ابزار مشهور UPX پنهان شدهاند.
این فایل در هنگـام اجرا، یک کپی از خود را با نام Mcsng.sys در پوشه Sysytem32 ایجاد میکند. این بـدافزار همچنین پردازشی را اجرا میکند که فایل ۱stmp.sys را در پوشه system32\config جایگذاری کـرده و اطلاعـات سرقت شـده را در آن مینـویسد.
اگر چه پسوند این فایل .sys (پسوند فایلهای سیستمی) است اما در حقیقت این فایل یک فایل سیستمی نیست.
هدف این فایل این است که به عنوان یک فایل لاگ عمل کند. اطلاعات ذخیره شده در این فایل، محتوی ضربات صفحه کلید کاربر است که به صورت رمز شده ذخیره شدهاند. هر بار که یک کلید فشرده میشود، این پردازش، ضربات صفحهکلید را ثبت کرده، آن را رمز و به محتویات فایل ۱stmp.sys اضافه میکند.
نویسنده این بـدافزار، از یـک الگوریتم رمزگذاری ساده بـرای رمز کردن اطلاعات سرقت شده استفاده کرده است. ایـن بـدافزار از رمزگذاری انتخابی با دو تکنیک استفاده میکنـد. هر بایت درصورتی که فرد باشد با استفاده از تکنیـک ۱ رمز میشود و در صورتی که زوج باشد، با استفاده از تکنیک ۲ رمزگذاری میگردد.
این بـدافزار در نـوع خـود، بدافـزار پیشرفتهای محسوب میشود و در کنار اطلاعـات تایـپ شده به وسیله صفحه کلیـد، اطـلاعـاتی از جملـه محل تایپ شدن حروف، آدرس سایتـی که کاربـر در همان لحظه در آن قرار دارد و زمان تایپ حروف را نیز ذخیره میکند.
پـس از ثبت و رمز گذاری ضربات صفحه کلید قربانی، این بدافزار این اطلاعات را برای نویسنده خود ایمیل میکند.
این بدافزار همچنین نام رایانه و نام کاربر را نیز برای سازنده خود میفرستد.
آنتیویـروس مـکآفی این تـروجان keylogger و نسخههای مختلـف آن را بـا عنوان Keylog-FAG شناسایی میکند.