Ficker - بدافزار جدید سرقت اطلاعات و حمله به ویندوز

Ficker - بدافزار جدید سرقت اطلاعات و حمله به ویندوز

محققان یک بدافزار جدید سرقت اطلاعات به نام Ficker را کشف کرده‌اند که از طریق یک انجمن زیرزمینی در روسیه توسط عوامل تهدید به عنوان مدل Malware-as-a-Service (MaaS) برای حمله به کاربران ویندوز توزیع می‌شود. عوامل تهدید با نام مستعار ficker در انجمن زیرزمینی روسیه اغلب در انجمن زیرزمینی مربوط به توزیع بدافزار فعال بوده اند. Ficker info stealer با Rust نوشته شده است و دارای قابلیت‌هایی برای سرقت اطلاعات در فضای سایبر از جمله مرورگرهای وب، اطلاعات کارت اعتباری، کیف پول های ارز دیجیتال، کلاینت های FTP و سایر برنامه ها است. همچنین، مهاجمان یک پنل مبتنی بر وب به خریدار ارائه می دهند تا به داده‌های سرقت شده از دستگاه قربانی دسترسی داشته باشد. فرایند آلودگی Ficker برخلاف هفته‌های گذشته که Ficker بر روی لینک‌های وب سایت هایی که از طریق آن ها قربانیان بطور تصادفی دانلود می کردند توزیع می شد، تکثیرهای فعلی مخفیانه بوده و با کمک نرم افزار دانلود کننده معروف بدافزار، Hancitor، به کار گرفته شده است. مرحله اولیه حمله با ارسال ایمیل های اسپم مخرب شروع می شود که در آن مهاجمان فایل‌های مخرب Microsoft Word را که کاملاً جعلی است اما به عنوان سند واقعی ارائه شده است، پیوست کردند. محتوای ایمیل اسپم قربانیان را برای باز کردن آن فریب می دهد، که منجر به اجرای یک کد ماکرو مخرب می شود که به Hancitor اجازه می دهد تا با سرور C&C ارتباط بگیرد و یک آدرس اینترنتی مخرب حاوی نمونه Ficker را دریافت کند. برای جلوگیری از ردیابی، از تکنیک فرار با تزریق Ficker به نمونه svchost.exe در دستگاه قربانی استفاده می کند و فعالیت های آن را مخفی می کند. svchost.exe اغلب توسط عوامل تهدید مورد سوء استفاده قرار می گیرد تا برای جلوگیری از اسکن AV سنتی بدافزارهای خود را در فرآیند سیستم پنهان کنند. محققان همچنین دریافتند که Ficker به شدت مبهم است و با استفاده از بررسی تجزیه و تحلیل چندگانه، از اجرای بدافزار در محیط مجازی جلوگیری می کند، همچنین نویسندگان بدافزار یک ویژگی اجرایی را در بدافزار تنظیم می کنند، بنابراین بدافزار اجرا نخواهد شد اگر در کشورهای منتخب مانند روسیه، ازبکستان، بلاروس، ارمنستان، قزاقستان، آذربایجان در حال اجرا باشد. فرایند سرقت اطلاعات Ficker برخلاف سایر بدافزارهای سرقت اطلاعات سنتی که فایل را از روی دیسک جمع آوری کرده و یک کپی محلی ایجاد می کند و سپس داده ها را از طریق سرور C&C فیلتر می کند اما Ficker مسیر دیگری را از طریق دستورالعمل های خود انتخاب کرده و اطلاعات خود را مستقیماً به اپراتور بدافزار ارسال می کند. یکی دیگر از ویژگی های جالب این است که نویسندگان بدافزار Ficker یک ویژگی منحصر به فرد اضافه کرده اند که داده های سرقت شده سمت سرور را به جای سمت قربانی رمزگشایی می کند، که به شما امکان می دهد کنترل بسیار خوبی بر روی افرادی که مجاز به استفاده از بدافزار هستند ، داشته باشید. بر اساس گزارش Blackberry این بدافزار همچنین دارای قابلیت screen-grab نیز می باشد که به اپراتور بدافزار اجازه می دهد تا از راه دور تصویری از صفحه قربانی را ضبط کند. این بدافزار همچنین هنگامی که اتصال به C&C آن برقرار می شود، قابلیت file-grabbing و دانلود اضافی را امکان پذیر می سازد. در اینجا داده های زیر را می توان توسط بدافزار Ficker به سرقت برد: • Chromium web browsers • Saved login credentials • Cookies • Auto-compete history • Mozilla-based web-browsers. • Saved login credentials • Cookies • Auto-complete history • Credit card information • Cryptocurrency wallets • FileZilla FTP client • WinScp FTP client • Discord login • Steam accounts • Pidgin accounts • Thunderbird accounts تهیه و تدوین: تینا احمدی