بدافزار TelegramRAT با بهرهبرداری از آسیبپذیری آفیس و تلگرام دست به سرقت اطلاعات میزند.
به گزارش آی تابناک : شرکت Netskope هشدار داد که تروجان تازه شناساییشده دسترسی از راه دور (RAT) از طریق اسنادی توزیع میشود که از یک آسیبپذیری هفدهساله وصلهشده در ماه نوامبر سال ۲۰۱۷ میلادی در آفیس، بهرهبرداری میکنند.
در واقع TelegramRAT، بدافزاری است که از برنامه پیامرسان تلگرام برای فرمان و کنترل استفاده میکند و از یک بستر ذخیرهسازی ابری سوءاستفاده میکند تا بار داده مخرب خود را ذخیره کند. این رویکرد به این تهدید اجازه میدهد تا برخی از پویشگرهای امنیتی سنتی را از سر باز کند.
حملات مربوط به TelegramRAT با یک سند آفیس مخرب شروع میشوند که از آسیبپذیری CVE-۲۰۱۷-۱۱۸۸۲ در Equation Editor مایکروسافت (EQNEDT32.EXE) که در ماه نوامبر سال ۲۰۰۰ میلادی معرفی شد، بهرهبرداری میکنند. این اشکال به مدت هفدهسال تا زمانی که مایکروسافت ماه گذشته آن را بهصورت دستی وصله کرد، بدون هیچ توجهی باقی ماند، اما طولی نکشید که عاملان مخرب شروع به سوءاستفاده از آن کردند.
به عنوان بخشی از این حمله جدید، خدمات هدایت نشانی اینترنتی Bit.ly مورد استفاده قرار گرفت تا بار داده TelegramRAT را که در دراپباکس میزبانی شده، پنهان کند. این بدافزار از واسط برنامهنویسی بات تلگرام استفاده میکند تا دستورات را دریافت کند و پاسخها را به مهاجم ارسال کند. با استفاده از برنامههای ابری SSL برای آلودگی و عملیات فرمان و کنترل، این بدافزار میتواند ارتباط را از برنامههای امنیتی مخفی نگه دارد.
شرکت Netskope میگوید: «رشتههای قابل اجرای بار داده، حاوی ارجاعهای بسیاری به پروندههای پایتون است. پس از یک تجزیهوتحلیل سریع به نظر میرسید که این بار داده یک برنامه پایتون باشد که به یک پرونده قابل اجرای دودویی مستقل تبدیل شدهاست که حاوی همه چیزهای موردنیاز برای اجرای برنامه است.»
به خاطر اینکه مفسر پایتون، کد برنامه و همه کتابخانههای مورد نیاز بستهبندیشده هستند، پرونده قابل اجرا حجم بزرگی دارد که باعث میشود کمتر مشکوک به نظر برسد.
در مسیر استخراجشده، پژوهشگران پروندههای PYD، پروندههای DLL و یک پوشه حاوی پروندههای .pyc را یافتند. آنها همچنین یک پرونده به نام «RATAttack» را کشف کردند که به یک پروژه «RAT-via-Telegram» متنباز در GitHub اشاره دارد.
پژوهشگران امنیتی کشف کردهاند که این مهاجمان هنگامی که پرونده اجرایی پایتون خود را کامپایل میکنند از کد موجود در گیتهاب استفاده میکنند.
با استفاده از تلگرام که از ارتباط رمزنگاریشده پشتیبانی میکند، مهاجمان اطمینان دارند که میتوانند بهراحتی و بدون هیچ جاسوسی، ارتباط را با هدف برقرار کنند. نویسندگان RAT یک بات تلگرام ایجاد میکنند و توکن تلگرام بات را در پرونده پیکربندی TelegramRAT جاسازی میکنند سپس این بدافزار به کانال تلگرام بات متصل میشود که در آنجا مهاجم میتواند دستوراتی برای دستگاه آلوده صادر کند.
طبق دستورات دریافتشده، این بدافزار میتواند تصاویری از صفحه تهیه کند، دستورات شِل را اجرا کند، پروندهها را کپی، حذف و از هدف بارگیری کند، پروندههای محلی را رمزنگاری و رمزگشایی کند، ثابت کردن صفحه کلید را فعال یا غیرفعال کند، گذرواژههای ورود گوگل کروم را پیدا کند، با میکروفون صدا ضبط کند، گزارش کلیدها را دریافت کند، اطلاعات رایانه شخصی را دریافت کند، یک کارگزار پروکسی باز کند، دستگاه را خاموش و یا راهاندازی مجدد کند، یک پرونده را اجرا کند، یک دستور را برای اجرا در زمان مشخص زمانبندی کند، خدمات و فرایندهای در حال اجرا را نشان دهد و پروندههای قابل اجرا را بهروزرسانی کند.
شرکت Netskope نتیجه میگیرد که: «TelegramRAT یک نمونه دیگری از فعالیت مهاجمان را ارائه میدهد که تصدیق میکنند میتوان از ابر استفاده کرد تا پویشگرهای امنیتی سنتی را از سر باز کرد. TelegramRAT با ایجاد ابر بومی خود از یک برنامه ابری برای میزبانی بار داده خود و از یک برنامه دیگر برای عملیات فرمان و کنترل استفاده میکند. این پیوند برنامه ابری در برابر حملات مقاومت میکند و به پویشگرهای امنیتی نیاز دارد تا بتواند نمونههای برنامه ابری را تشخیص دهد و به ترافیک SSL رسیدگی کند تا مؤثر باشند.»