یک بدافزار جاسوسی تبلیغاتی تازه کشف شده با نام “Masad Clipper and Stealer”، از رباتهای تلگرام به عنوان قطب فرمان و کنترل خود (C2) استفاده میکند. ماساد (Masad) اطلاعاتی را از کاربران ویندوز و کاربران اندرویدی به سرقت برده و همچنین دارای چارچوب کاملی از سایر قابلیتهای مخرب، از جمله قابلیت سرقت رمزگذاری شده از کیف پول قربانیان است.
براساس تجزیه و تحلیلهای حاصل از آزمایشگاه Juniper Threat، یکی از جالب ترین موارد درباره ماساد (که محققان فکر میکنند از بدافزار معروف “Qulab Stealer” منتقل شده است) این است که دادههای جمع آوری شده از قربانیان را به یک ربات تلگرام ارسال میکند که به عنوان سرور C2 عمل میکند.
مطابق این یافتهها، برای اتصال به ربات C2، ماساد ابتدا یک پیام getMe را با استفاده از یک نشانگر کدگذاری شده برای تأیید فعال بودن ربات ارسال میکند. در مرحله بعد، پس از ربودن طیف وسیعی از دادهها و وارد کردن آن در یک پوشه ZIP (با استفاده از ابزار 7zip)، پوشه را به همراه API sendDocument ارسال میکند.
محققان بیان میکنند: “از این دادهها می توانیم تعداد عاملان تهدید – یا حداقل تعداد کمپینهای مختلفی که با استفاده از بدافزار “Masad Stealer” اجرا میشوند، و میزان عملکرد آنها را تخمین بزنیم.”
آنها همچنین افزودند: “توسعه دهندگان یک گروه تلگرامی را برای مشتریان بالقوه خود و همچنین برای پشتیبانی فناوری ایجاد کردهاند که تاکنون بیش از 300 عضو را در خود جای داده است.
اطلاعات دزدیده شده میتواند شامل دادههای مرورگر با نامهای کاربری و کلمه عبور برای سایتهای مختلف، همراه با اطلاعات تماس و دادههای کارت اعتباری، اطلاعات کامپیوتر شخصی و سیستم؛ لیستی از نرمافزارها و فرآیندهای نصب شده؛ پروندههای دسکتاپ؛ عکسهای صفحه؛ کوکیهای مرورگر؛ فایلهای پلتفرم بازی Steam؛ پیامهای دیسکورد و تلگرام؛ و پروندههای FileZilla باشد.
همچنین به طور خودکار کیف پول رمزنگاری شده را با استفاده از کلیپبورد با خودش جایگزین میکند، و قابلیت دانلود نرمافزارهای مخرب دیگر را نیز دارد.
محققان تصریح کردند: “این بدافزار، به محض مطابقت با پیکربندی خاص، عملکردی را جایگزین کیف پولهای موجود در کلیپبورد میکند “. “اگر داده کلیپبورد با یکی از الگوهای کدگذاری شده در “Masad Stealer” مطابقت داشته باشد، این بدافزار دادههای کلیپبورد را با یکی از کیفهای عاملان تهدید جایگزین میکند.”