سرقت داده ها توسط بدافزار راکن، از طریق 60 برنامه

به تازگی بدافزار جدیدی به نام «راکن» شناسایی شده است که توانایی سرقت دادههای کاربران را دارد. این بدافزار که در انجمنهای جرایم سایبری، نسبتاً جدید و ناشناخته است میتواند دادههای حساس کاربران را از حدود 60 برنامه نصب شده در رایانه هدف، جمع آوری و سرقت کند.
مختصری درباره راکن
صحنه فعالیت بدافزارها مدام در حال تغییر است. بدافزارهایی که چندین سال پیش در صدر جداول بودند، هم اکنون در جایگاه متوسطی قرار گرفته و بدافزارهایی با ویژگیهای بیشتر جایگزین آنها شدهاند.
راکن که نوعی بدافزار سارق اطلاعات است، تقریباً یک سال پیش برای اولین بار مشاهده شد و به خاطر ویژگیهای زیاد و قیمت نسبتاً ارزانش توانست به سرعت گسترش پیدا کند.
بدافزار راکن که به نام های Legion، Mohazo و Racealer نیز شناخته می شود، ابتدا در مجامع روسی زبان از آن استفاده میشد و خیلی زود به کشورهای انگلیسی زبان هم راه یافت. اولین نمونه از این بدافزار، در آوریل سال 2019 میلادی و تحت مدل MaaS (بدافزار به عنوان خدمت) مشاهده شد که با قیمت 75 دلار در هفته یا 200 دلار در ماه توزیع می شد.
مهاجمان با پرداخت این هزینه، امکان دسترسی به یک صفحه مدیریت را پیدا میکنند که به آنها توانایی شخصی سازی بدافزار، دسترسی به دادههای سرقت شده و دانلود سایر نسخههای بدافزار را میدهد. این مدل امروزه به صورت گستردهای پذیرفته شده است چرا که میتواند راه را برای تعداد زیادی از مشتریان جرایم سایبری باز کند؛ مشتریانی که بسیاری از آنها دانش فنی لازم را نداشته ولی امکان پرداخت این وجه را دارند.
ساده و در عین حال کافی
تحلیلی که از CyberArk منتشر شده است، نشان می دهد که راکن با زبان برنامه نویسی ++C نوشته شده و پیچیدگی فنی چندان زیادی ندارد. با این حال، این بدافزار میتواند دادهای حساس و محرمانه را از بیش از 60 برنامه که شامل مرورگرها، کیف پولهای دیجیتال، ایمیل و… است، سرقت کند.
بدافزار راکن اگر چه از فنون خاصی برای جمع آوری اطلاعات از برنامههای مورد هدف استفاده نمیکند اما همچنان یکی از محبوبترین بدافزارهای سارق اطلاعات در انجمن های جرایم سایبری محسوب میشود. در گزارشی که از Recorded Future در ماه جولای سال 2019 میلادی منتشر شده است، ادعا شده که: «راکن یکی از پرفروشترین بدافزارها در اقتصاد زیرزمینی بوده است».
با این حال، راکن با وجود سادگی خود، به بیش از صدها هزار رایانه در سراسر جهان آسیب رسانده است. این موضوع نشان میدهد که ویژگیهای فنی لزوماً موردی نیست که مجرمان سایبری در هنگام انتخاب یک ابزار به آن توجه میکنند، بلکه تعادل خوبی از قیمت، دسترسیها و قابلیتها است که میتواند برای آنها مهم باشد.
بدافزار سارق اطلاعات
امروزه تمامی مرورگرهای مشهور (همچون Google Chrome، Mozilla Firefox، Microsoft Edge، Internet Explorer، Opera، Vivaldi، Waterfox، SeaMonkey، UC Browser) در فهرست اهداف برای سرقت کوکیها، تاریخچه و اطلاعاتی که به شکل تکمیل خودکار توسط کاربران در آنها ذخیره میشوند، هستند.
برترین برنامههای مربوط به ارزهای مجازی مثل Electrum، Ethereum، Exodus، Jaxx و Monero که مورد علاقه بسیاری از افراد هستند، همیشه در یک سری مکانهای پیشفرض به دنبال فایلهای کیف پول خود میگردند. بنابراین بدافزار راکن هم می wتواند سیستم را برای گرفتن فایلهای wallet.dat، صرف نظر از مکان نگهداری آنها اسکن کند.
از دسته نرم افزارهای ایمیل سمت کاربر نیز راکن حداقل به دنبال دادههای Thunderbird، Outlook و Foxmail است.
در گزارش محققان CyberArk آمده است: «این سارق داده، برای سرقت دادهها به همان روش متکی است: تعیین و کپی فایلی با اطلاعات حساس، اعمال روندهای جمع آوری و رمزگشایی و قرار دادن اطلاعات در یک فایل متنی که آماده ارسال است».
راکن همچنین از قابلیتهای اضافی که در بیشتر بدافزارها وجود داشته و شامل جمع آوری جزییات سیستم (نسخه سیستم عامل و معماری آن، زبان، اطلاعات سخت افزاری و شمارش برنامههای نصب شده) است نیز برخوردار است.
مجرمان سایبری همچنین امکان سفارشی سازی فایل پیکربندی راکن برای تهیه عکس از صفحه سیستمهای آلوده (اسکرین شات) را دارند.
سایر قابلیتها و ویژگیها
محققان امنیت سایبری می گویند که بدافزار راکن میتواند راه ورودی برای سایر فایلهای مخرب نیز بوده و مهاجمان از آن به عنوان ابزاری برای شروع یک حمله دیگر استفاده کنند.
باید توجه داشت بدافزارهایی مثل راکن، لزوماً برای مزایای فوری مورد استفاده قرار نمیگیرند؛ چرا که بیشتر برای افزایش دسترسیها بر روی سیستم قربانی یا انتقال خود به سایر رایانههای موجود در شبکه مفید هستند.
محققان در هنگام تجزیه و تحلیل یک نمونه از بدافزار راکن، نسخههای جدیدی از آن را شناسایی کردهاند که علاوه بر پشتیبانی از برنامههای مورد هدف، امکان نصب برنامههای FileZilla و UC Browser را هم داشته و مستقیماً از پنل مدیریت خود، قابلیت دریافت کلید جهت رمزنگاری فایلها را دارد.
محققان امنیتی، از بین روشهایی که راکن برای سواستفاده از آنها استفاده میکند، متوجه شدهاند که این بدافزار از طریق کیتهای سواستفاده، فیشینگ و PUA (برنامههای بالقوه و ناخواسته) فعالیتهای مجرمانه خود را انجام میدهد.
منبع: bleepingcomputer