استفاده بدافزار جاسوسی Masad از ربات‌های تلگرام

این بدافزار به جمع آوری داده‌ها، سرقت رمزنگار‌ ها و رهاسازی سایر بدافزارها می‌پردازد و  این در حالی است که به شکل ایم‌بات بازی رایانه‌ای Fortnite و موارد دیگر نیز ظاهر می‌شود.

یک بدافزار جاسوسی تبلیغاتی تازه کشف شده با نام “Masad Clipper and Stealer”، از ربات‌های تلگرام به عنوان قطب فرمان و کنترل خود (C2) استفاده می‌کند. ماساد (Masad) اطلاعاتی را از کاربران ویندوز و کاربران اندرویدی به سرقت برده و همچنین دارای چارچوب کاملی از سایر قابلیت‌های مخرب، از جمله قابلیت سرقت رمزگذاری شده از کیف پول قربانیان است.

براساس تجزیه و تحلیل‌های حاصل از آزمایشگاه Juniper Threat، یکی از جالب ترین موارد درباره ماساد (که محققان فکر می‌کنند از بدافزار معروف “Qulab Stealer” منتقل شده است) این است که داده‌های جمع آوری شده از قربانیان را به یک ربات تلگرام ارسال می‌کند که به عنوان سرور C2 عمل می‌کند.

مطابق این  یافته‌ها، برای اتصال به ربات C2، ماساد ابتدا یک پیام getMe را با استفاده از یک نشانگر کدگذاری شده برای تأیید فعال بودن ربات ارسال می‌کند. در مرحله بعد، پس از ربودن طیف وسیعی از داده‌ها و وارد کردن آن در یک پوشه ZIP (با استفاده از ابزار 7zip)، پوشه را به همراه API sendDocument ارسال می‌کند.

محققان بیان می‌کنند: “از این داده‌ها می توانیم تعداد عاملان تهدید – یا حداقل تعداد کمپین‌های مختلفی که با استفاده از بدافزار “Masad Stealer” اجرا می‌شوند، و میزان عملکرد آنها را تخمین بزنیم.”

آنها همچنین افزودند: “توسعه دهندگان یک گروه تلگرامی را برای مشتریان بالقوه خود و همچنین برای پشتیبانی فناوری ایجاد کرده‌اند که تاکنون بیش از 300 عضو را در خود جای داده است.

اطلاعات دزدیده شده می‌تواند شامل داده‌های مرورگر با نام‌های کاربری و کلمه عبور برای سایت‌های مختلف، همراه با اطلاعات تماس و داده‌های کارت اعتباری، اطلاعات کامپیوتر شخصی و سیستم؛ لیستی از نرم‌افزارها و فرآیندهای نصب شده؛ پرونده‌های دسکتاپ؛ عکس‌های صفحه؛ کوکی‌های مرورگر؛ فایل‌های پلتفرم بازی Steam؛ پیام‌های دیسکورد و تلگرام؛ و پرونده‌های FileZilla باشد.

همچنین به طور خودکار کیف پول رمزنگاری شده را با استفاده از کلیپ‌بورد با خودش جایگزین می‌کند، و قابلیت دانلود نرم‌افزارهای مخرب دیگر را نیز دارد.

محققان تصریح کردند: “این بدافزار، به محض مطابقت با پیکربندی خاص، عملکردی را جایگزین کیف پول‌های موجود در کلیپ‌بورد می‌کند “. “اگر داده کلیپ‌بورد با یکی از الگوهای کدگذاری شده در “Masad Stealer” مطابقت داشته باشد، این بدافزار داده‌های کلیپ‌بورد را با یکی از کیف‌های عاملان تهدید جایگزین می‌کند.”

خروج از نسخه موبایل