Trojan.Win32.Racealer

شرح کلی

نوع : تروجان (Trojan)
اسامی بدافزار:
Trojan.Win32.Racealer
درجه تخریب: بالا
میزان شیوع: متوسط

تروجان (Trojan) چیست؟

تروجان‌ها نوعی از بدافزار محسوب می‌شوند که خود را در قالب یک نرم‌افزار سالم و قانونی نشان می‌دهند و بسیار شبیه نرم‌افزارهای مفید و کاربردی رفتار می‌کنند. اما هنگامی ‌که اجرا می‌شوند خرابی‌های زیادی را برای سیستم ایجاد می‌کنند. نرم‌افزارهای دانلود شده از اینترنت، جاسازی شدن در متن HTML، ضمیمه شدن به یک ایمیل و غیره از جمله راه‌های ورود تروجان‌ها به سیستم هستند. تروجان‌ها برخلاف ویروس‌ها و کرم‌های کامپیوتری قادر به تکثیر خود نیستند.

بدافزار Racealer چیست؟

بدافزار Racealer یا Raccoon Stealler با هدف سرقت اطلاعاتی مانند walletهای ارزهای دیجیتال بر روی سیستم، اطلاعات مرورگرها و ایمیل اقدام به آلوده‌سازی سیستم قربانی می‌کند.

توضیحات فنی

علائم آلودگی به بدافزار Racealer:

دانلود یک فایل خالی از google.drive:

hxxps://drive[.]google[.]com/uc?export=download&id=…

سپس وصل شدن و فرستادن درخواست به IP مربوط به c&c در مسیر زیر با پروتکل http post:

hxxp://C&C_IP/gate/log.php

همچنین فرستادن درخواست به مسیرهای gate/libs.zip و gate/sqlite3.dl برای دریافت فایل‌های لازم برای استخراج اطلاعات.

در صورتی که مراحل قبل موفقیت آمیز بودند، به IP قبلی در مسیر زیر با http post درخواست می‌فرستد:

hxxp://C&C_IP/file_handler/file.php

شرح عملکرد :

هدف این بدافزار سرقت اطلاعات از سیستم است و به دنبال بقاء و ماندن بر روی سیستم نمی‌باشد؛ در نتیجه در سیستم باقی نمی‌ماند و اثر قابل توجهی از خود باقی نمی‌گذارد. از جمله اطلاعات دزدیده شده توسط این بدافزار می‌توان به اطلاعات ذخیره شده در مرورگرها و ایمیل کلاینت‌ها و walletهای ارز دیجیتال اشاره کرد. این بدافزار برای ارتباط با C&C و پیدا کردن IP آن از سرویس‌های گوگل مانند google drive استفاده می‌کند. در ابتدا با فرستادن درخواست به یک لینک در google drive و decrypt کردن قسمتی از هدر آن IP سرور C&C خود را پیدا می‌کند که خود آن سرور نیز معمولا پشت سرویس‌های گوگل است. جهت مخفی ماندن و شناسایی نشدن، تمامی این لینک‌ها و IPها را به سرعت تغییر می‌دهند تا برای هر حمله متفاوت باشند. سپس به IP به دست آمده در مسیر /gate/log.php اطلاعات کلی مربوط به قربانی مانند botID و اطلاعات سیستم فرستاده می‌شود. پس از آن نیز با وصل شدن به آدرس‌های gate/sqlite3.dll و gate/libs.zip فایل‌های لازم برای استخراج اطلاعات از سیستم از جمله مرورگرها را دریافت می‌کند. در آخر نیز اطلاعات دزدیده شده را به hxxp://C&C_IP/file_handler/file.php می‌فرستد. نحوه‌ی انتشار این بدافزار نیز معمولا به صورت post exploitation است، برای مثال حمله‌کنندگان با استفاده از Exploit Kitها و آسیب‌پذیری‌های موجود در مرورگرها این بدافزار را در سیستم قربانی اجرا می‌کنند. علاوه بر این، در بعضی موارد با استفاده از phishing و مهندسی اجتماعی اقدام به پخش بدافزار می‌کنند.

اطلاعات دزدیده شده توسط بدافزار Racealer:

  • اطلاعات ذخیره شده در تمامی مرورگرها از جمله نام کاربری و پسوردهای ذخیره شده
  • اطلاعات walletهای ارزهای دیجیتال
  • اطلاعات ایمیل کلاینت‌ها مانند ThunderBird و OutLook

روش مقابله و پاک‌سازی سیستم

آنتی‌ویروس پادویش این بدافزار را شناسایی و از سیستم حذف می‌کند. بخش جلوگیری از نفوذ (IPS) آنتی‌ویروس پادویش نیز اغلب آسیب‌پذیری‌های سیستم ‌عامل ویندوز را شناسایی و آن را در برابر چنین حملاتی ایمن می‌کند .جهت پیشگیری از ورود این نوع بدافزارها به سیستم پیشنهاد می‌شود از کلیک بر روی لینک‌های مشکوک خودداری و فایل‌های ضمیمه ایمیل‌ها را توسط آنتی‌ویروس پویش نمایید. همچنین، در صورت امکان همیشه سیستم‌ عامل، آنتی‌ویروس و مرورگرهای خود را به‌روز نگه دارید و از استفاده از مرورگر Internet Explorer و به خصوص نسخه‌های قدیمی آن تا حد امکان خودداری کنید، چرا که این مرورگر آسیب‌پذیری‌های زیادی دارد.