تهدیدات سایبری به تکامل خود ادامه می دهند و یکی از آخرین تهدیدات نوظهور شناسایی شده توسط تیم تحقیقاتی CYFIRMA، بدافزار Angry Stealer است.

کشف شده است که این دزد اطلاعات به طور فعال در پلتفرم‌های مختلف آنلاین از جمله تلگرام تبلیغ می‌شود، که دامنه آن را گسترش می‌دهد و آن را در دسترس مخاطبان وسیعی از مهاجمان بالقوه قرار می‌دهد.

Angry Stealer یک بدافزار پیچیده است که با استفاده از تکنیک های پیشرفته و تاکتیک های تغییر نام تجاری، طیف وسیعی از اطلاعات حساس را هدف قرار می دهد. این مبتنی بر Rage Stealer است که قبلاً شناسایی شده بود، کد، رفتار و عملکرد تقریباً یکسانی را به اشتراک می‌گذارد.

Payloadهای Stepasha.exe و MotherRussia.exe به هر سیستمی حمله می کنند

Angry Stealer از طریق یک قطره چکان باینری، یک فایل اجرایی Win32 32 بیتی که در دات نت نوشته شده است، که برای اجرای دو بار اصلی طراحی شده است، مستقر می شود: "Stepasha.exe" و "MotherRussia.exe". محموله اصلی، Stepasha.exe، به عنوان هسته عملیات Angry Stealer عمل می کند و بر سرقت اطلاعات حساس تمرکز می کند. این شامل داده‌های مرورگر ( گذرواژه‌ها ، کوکی‌ها و اطلاعات تکمیل خودکار)، جزئیات کیف پول ارزهای دیجیتال، اطلاعات سیستم، اعتبار VPN ، توکن‌های Discord و موارد دیگر می‌شود. سپس داده‌ها از طریق تلگرام به سرور راه دور منتقل می‌شوند، با استفاده از اعتبارنامه‌های رمزگذاری‌شده و دور زدن اعتبارسنجی SSL برای اطمینان از انتقال موفقیت‌آمیز داده‌ها.

بار ثانویه، MotherRussia.exe، به عنوان ابزاری برای ایجاد فایل های اجرایی مخرب بیشتر عمل می کند. این ابزار سازنده به مهاجمان اجازه می دهد تا بدافزار سفارشی تولید کنند، که به طور بالقوه دسترسی دسکتاپ از راه دور یا تعاملات اضافی با ربات را تسهیل می کند. رویکرد dual-payload نه تنها دامنه سرقت داده ها را گسترش می دهد، بلکه امکان ایجاد نرم افزارهای مخرب سفارشی متناسب با اهداف یا سناریوهای حمله خاص را نیز فراهم می کند.

پس از اعدام، Angry Stealer به رایانه قربانی نفوذ می کند و مجموعه ای سیستماتیک از داده های حساس را آغاز می کند. این به طور خاص مرورگرهای وب محبوب را با استفاده از یک رویکرد چند رشته ای هدف قرار می دهد و به آن امکان می دهد داده ها را از چندین مرورگر به طور همزمان جمع آوری کند، رمزهای عبور، جزئیات کارت اعتباری، کوکی ها، داده های تکمیل خودکار، نشانک ها، فرآیندهای در حال اجرا، عکس برداری از صفحه و مشخصات سیستم را استخراج کند. بدافزار این داده‌های دزدیده شده را در فهرستی مشخص در C:\Users\Username\AppData\Local\44_23 سازماندهی می‌کند، جایی که زیرشاخه‌هایی را برای انواع مختلف اطلاعات ایجاد می‌کند.

هنگامی که مسیرهای مرورگر برای جمع‌آوری اطلاعات ارزشمند اسکن می‌شوند، بدافزار برای جلوگیری از شناسایی محدودیت‌هایی در اندازه بر روی فایل‌هایی که کپی می‌کند اعمال می‌کند. علاوه بر این، Angry Stealer می‌تواند به فایل‌های کاربر از دایرکتوری‌های کلیدی مانند Desktop و Documents دسترسی داشته باشد و بر روی اسناد و داده‌های شخصی که ممکن است مورد علاقه مهاجمان باشد تمرکز کند.

علاوه بر این، می‌تواند آدرس IP سیستم، موقعیت جغرافیایی و داده‌های مربوط به شبکه را تعیین کند - اطلاعات جامعی در مورد محیط قربانی به مهاجمان ارائه می‌کند. این قابلیت جمع آوری داده به مهاجمان اجازه می دهد تا اقدامات بعدی خود را بر اساس ویژگی های خاص سیستم آلوده تنظیم کنند.

برای مبارزه موثر با تهدید ناشی از Angry Stealer و بدافزارهای مشابه، سازمان ها باید یک رویکرد امنیتی چند لایه را اجرا کنند. استراتژی‌های کلیدی شامل استقرار راه‌حل‌های امنیتی نقطه پایانی قوی است که قادر به شناسایی و مسدود کردن فعالیت‌های مخرب مرتبط با دزدان اطلاعات هستند، و اطمینان از اینکه سیستم‌های عامل ، برنامه‌ها و نرم‌افزارهای امنیتی به طور منظم به روز می‌شوند تا آسیب‌پذیری‌هایی را که می‌توانند مورد سوء استفاده قرار گیرند، به روز می‌شوند.

علاوه بر این، اجرای بخش‌بندی شبکه می‌تواند به محدود کردن حرکت بدافزارها در شبکه کمک کند و خطر سرقت گسترده داده‌ها را کاهش دهد. سازمان‌ها همچنین باید برنامه‌های آموزشی جامع کارکنان را برای افزایش آگاهی در مورد تهدیدات فیشینگ و شیوه‌های امن آنلاین انجام دهند. در نهایت، داشتن یک برنامه واکنش به روز حادثه برای رسیدگی سریع به عفونت‌های بالقوه بدافزار، به حداقل رساندن آسیب، و تسهیل بازیابی سیستم‌های آسیب‌دیده بسیار مهم است.

بیشتر از TechRadar Pro