شرح کلی
نوع : تروجان (Trojan)
اسامی بدافزار:
Trojan.Win32.Racealer
درجه تخریب: بالا
میزان شیوع: متوسط
تروجان (Trojan) چیست؟
تروجانها نوعی از بدافزار محسوب میشوند که خود را در قالب یک نرمافزار سالم و قانونی نشان میدهند و بسیار شبیه نرمافزارهای مفید و کاربردی رفتار میکنند. اما هنگامی که اجرا میشوند خرابیهای زیادی را برای سیستم ایجاد میکنند. نرمافزارهای دانلود شده از اینترنت، جاسازی شدن در متن HTML، ضمیمه شدن به یک ایمیل و غیره از جمله راههای ورود تروجانها به سیستم هستند. تروجانها برخلاف ویروسها و کرمهای کامپیوتری قادر به تکثیر خود نیستند.
بدافزار Racealer چیست؟
بدافزار Racealer یا Raccoon Stealler با هدف سرقت اطلاعاتی مانند walletهای ارزهای دیجیتال بر روی سیستم، اطلاعات مرورگرها و ایمیل اقدام به آلودهسازی سیستم قربانی میکند.
توضیحات فنی
علائم آلودگی
دانلود یک فایل خالی از google.drive:
hxxps://drive[.]google[.]com/uc?export=download&id=…
سپس وصل شدن و فرستادن درخواست به IP مربوط به c&c در مسیر زیر با پروتکل http post:
hxxp://C&C_IP/gate/log.php
همچنین فرستادن درخواست به مسیرهای gate/libs.zip و gate/sqlite3.dl برای دریافت فایلهای لازم برای استخراج اطلاعات.
در صورتی که مراحل قبل موفقیت آمیز بودند، به IP قبلی در مسیر زیر با http post درخواست میفرستد:
hxxp://C&C_IP/file_handler/file.php
شرح عملکرد
هدف این بدافزار سرقت اطلاعات از سیستم است و به دنبال بقاء و ماندن بر روی سیستم نمیباشد؛ در نتیجه در سیستم باقی نمیماند و اثر قابل توجهی از خود باقی نمیگذارد. از جمله اطلاعات دزدیده شده توسط این بدافزار میتوان به اطلاعات ذخیره شده در مرورگرها و ایمیل کلاینتها و walletهای ارز دیجیتال اشاره کرد. این بدافزار برای ارتباط با C&C و پیدا کردن IP آن از سرویسهای گوگل مانند google drive استفاده میکند. در ابتدا با فرستادن درخواست به یک لینک در google drive و decrypt کردن قسمتی از هدر آن IP سرور C&C خود را پیدا میکند که خود آن سرور نیز معمولا پشت سرویسهای گوگل است. جهت مخفی ماندن و شناسایی نشدن، تمامی این لینکها و IPها را به سرعت تغییر میدهند تا برای هر حمله متفاوت باشند. سپس به IP به دست آمده در مسیر /gate/log.php اطلاعات کلی مربوط به قربانی مانند botID و اطلاعات سیستم فرستاده میشود. پس از آن نیز با وصل شدن به آدرسهای gate/sqlite3.dll و gate/libs.zip فایلهای لازم برای استخراج اطلاعات از سیستم از جمله مرورگرها را دریافت میکند. در آخر نیز اطلاعات دزدیده شده را به hxxp://C&C_IP/file_handler/file.php میفرستد. نحوهی انتشار این بدافزار نیز معمولا به صورت post exploitation است، برای مثال حملهکنندگان با استفاده از Exploit Kitها و آسیبپذیریهای موجود در مرورگرها این بدافزار را در سیستم قربانی اجرا میکنند. علاوه بر این، در بعضی موارد با استفاده از phishing و مهندسی اجتماعی اقدام به پخش بدافزار میکنند.
اطلاعات دزدیده شده توسط بدافزار Racealer:
- اطلاعات ذخیره شده در تمامی مرورگرها از جمله نام کاربری و پسوردهای ذخیره شده
- اطلاعات walletهای ارزهای دیجیتال
- اطلاعات ایمیل کلاینتها مانند ThunderBird و OutLook
روش مقابله و پاکسازی سیستم
آنتیویروس پادویش این بدافزار را شناسایی و از سیستم حذف میکند. بخش جلوگیری از نفوذ (IPS) آنتیویروس پادویش نیز اغلب آسیبپذیریهای سیستم عامل ویندوز را شناسایی و آن را در برابر چنین حملاتی ایمن میکند .جهت پیشگیری از ورود این نوع بدافزارها به سیستم پیشنهاد میشود از کلیک بر روی لینکهای مشکوک خودداری و فایلهای ضمیمه ایمیلها را توسط آنتیویروس پویش نمایید. همچنین، در صورت امکان همیشه سیستم عامل، آنتیویروس و مرورگرهای خود را بهروز نگه دارید و از استفاده از مرورگر Internet Explorer و به خصوص نسخههای قدیمی آن تا حد امکان خودداری کنید، چرا که این مرورگر آسیبپذیریهای زیادی دارد.