سرقت داده ها توسط بدافزار راکن، از طریق 60 برنامه

به تازگی بدافزار جدیدی به نام «راکن» شناسایی شده است که توانایی سرقت داده­‌های کاربران را دارد. این بدافزار که در انجمن­‌های جرایم سایبری، نسبتاً جدید و ناشناخته است می‌­تواند داده‌های حساس کاربران را از حدود 60 برنامه نصب شده در رایانه هدف، جمع ­آوری و سرقت کند.

مختصری درباره راکن

صحنه فعالیت بدافزارها مدام در حال تغییر است. بدافزارهایی که چندین سال پیش در صدر جداول بودند، هم اکنون در جایگاه متوسطی قرار گرفته و بدافزارهایی با ویژگی‌­های بیشتر جایگزین آن‌ها شده‌­اند.

راکن که نوعی بدافزار سارق اطلاعات است، تقریباً یک سال پیش برای اولین ­بار مشاهده شد و به خاطر ویژگی‌های زیاد و قیمت نسبتاً ارزانش توانست به سرعت گسترش پیدا کند.

بدافزار راکن که به نام ­های Legion، Mohazo و Racealer نیز شناخته می ­شود، ابتدا در مجامع روسی زبان از آن استفاده می‌شد و خیلی زود به کشورهای انگلیسی زبان هم راه یافت. اولین نمونه از این بدافزار، در آوریل سال 2019 میلادی و تحت مدل MaaS (بدافزار به عنوان خدمت) مشاهده شد که با قیمت 75 دلار در هفته یا 200 دلار در ماه توزیع می­ شد.

مهاجمان با پرداخت این هزینه، امکان دسترسی به یک صفحه مدیریت را پیدا می­‌کنند که به آن‌ها توانایی شخصی­ سازی بدافزار، دسترسی به داده‌های سرقت شده و دانلود سایر نسخه‌های بدافزار را می‌دهد. این مدل امروزه به صورت گسترده‌ای پذیرفته شده است چرا که می‌­تواند راه را برای تعداد زیادی از مشتریان جرایم سایبری باز کند؛ مشتریانی که بسیاری از آن‌ها دانش فنی لازم را نداشته ولی امکان پرداخت این وجه را دارند.

ساده و در عین حال کافی

تحلیلی که از CyberArk منتشر شده است، نشان می­ دهد که راکن با زبان برنامه ­نویسی ++C نوشته شده و پیچیدگی فنی چندان زیادی ندارد. با این حال، این بدافزار می‌تواند داد‌های حساس و محرمانه را از بیش از 60 برنامه که شامل مرورگرها، کیف پول‌های دیجیتال، ایمیل و… است، سرقت کند.

بدافزار راکن اگر چه از فنون خاصی برای جمع­ آوری اطلاعات از برنامه­‌های مورد هدف استفاده نمی‌­کند اما همچنان یکی از محبوب‌­ترین بدافزارهای سارق اطلاعات در انجمن ­های جرایم سایبری محسوب می‌شود. در گزارشی که از Recorded Future در ماه جولای سال 2019 میلادی منتشر شده است، ادعا شده که: «راکن یکی از پرفروش‌‌ترین بدافزارها در اقتصاد زیرزمینی بوده است».

با این حال، راکن با وجود سادگی خود، به بیش از صدها هزار رایانه در سراسر جهان آسیب رسانده است. این موضوع نشان می‌دهد که ویژگی­‌های فنی لزوماً موردی نیست که مجرمان سایبری در هنگام انتخاب یک ابزار به آن توجه می­‌کنند، بلکه تعادل خوبی از قیمت، دسترسی‌ها و قابلیت‌ها است که می­‌تواند برای آن‌ها مهم باشد.

بدافزار سارق اطلاعات

امروزه تمامی مرورگرهای مشهور (همچون Google Chrome، Mozilla Firefox، Microsoft Edge، Internet Explorer، Opera، Vivaldi، Waterfox، SeaMonkey، UC Browser) در فهرست اهداف برای سرقت کوکی‌ها، تاریخچه و اطلاعاتی که به شکل تکمیل خودکار توسط کاربران در آن‌ها ذخیره­ می‌شوند، هستند.

برترین برنامه­‌های مربوط به ارزهای مجازی مثل Electrum، Ethereum، Exodus، Jaxx و Monero که مورد علاقه بسیاری از افراد هستند، همیشه در یک سری مکان‌های پیش­فرض به دنبال فایل­‌های کیف پول خود می‌گردند. بنابراین بدافزار راکن هم می­ wتواند سیستم را برای گرفتن فایل­‌های wallet.dat، صرف­ نظر از مکان نگهداری آن‌ها اسکن کند.

از دسته نرم­ افزارهای ایمیل سمت کاربر نیز راکن حداقل به دنبال داده‌های Thunderbird، Outlook و Foxmail است.

در گزارش محققان CyberArk آمده است: «این سارق داده، برای سرقت داده‌­ها به همان روش متکی است: تعیین و کپی فایلی با اطلاعات حساس، اعمال روندهای جمع ­آوری و رمزگشایی و قرار دادن اطلاعات در یک فایل متنی که آماده ارسال است».

راکن همچنین از قابلیت‌های اضافی که در بیشتر بدافزارها وجود داشته و شامل جمع­ آوری جزییات سیستم (نسخه سیستم عامل و معماری آن، زبان، اطلاعات سخت­ افزاری و شمارش برنامه‌های نصب شده) است نیز برخوردار است.

مجرمان سایبری همچنین امکان سفارشی­ سازی فایل پیکربندی راکن برای تهیه عکس از صفحه­ سیستم‌­های آلوده (اسکرین­ شات) را دارند.

سایر قابلیت‌­ها و ویژگی­‌ها

محققان امنیت سایبری می ­گویند که بدافزار راکن می‌­تواند راه ورودی برای سایر فایل‌های مخرب نیز بوده و مهاجمان از آن به عنوان ابزاری برای شروع یک حمله دیگر استفاده کنند.

باید توجه داشت بدافزارهایی مثل راکن، لزوماً برای مزایای فوری مورد استفاده قرار نمی‌گیرند؛ چرا که بیشتر برای افزایش دسترسی‌ها بر روی سیستم قربانی یا انتقال خود به سایر رایانه‌های موجود در شبکه مفید هستند.

محققان در هنگام تجزیه و تحلیل یک نمونه از بدافزار راکن، نسخه‌های جدیدی از آن را شناسایی کرده‌اند که علاوه بر پشتیبانی از برنامه­‌های مورد هدف، امکان نصب برنامه­‌های FileZilla و  UC Browser را هم داشته و مستقیماً از پنل مدیریت خود، قابلیت دریافت کلید جهت رمزنگاری فایل‌ها را دارد.

محققان امنیتی، از بین روش­‌هایی که راکن برای سواستفاده از آن‌ها استفاده می‌کند، متوجه شده­‌اند که این بدافزار از طریق کیت‌­های سواستفاده، فیشینگ و PUA (برنامه‌های بالقوه و ناخواسته) فعالیت‌­های مجرمانه خود را انجام می‌­دهد.

منبع: bleepingcomputer