Trojan.Win32.RisePro

شرح کلی

نوع: تروجان (Trojan)
درجه تخریب: متوسط
میزان شیوع: متوسط

اسامی بدافزار

  • Padvish) Trojan.Win32. RisePro.a)
  • ESET) A Variant Of Win32/TrojanDownloader.Agent.GNV)
  • Kaspersky) HEUR:Trojan-PSW.Win32.RisePro)

تروجان (Trojan) چیست؟

تروجان‌ها نوعی بدافزار محسوب می‌شوند که خود را در قالب نرم‌افزاری سالم و قانونی جلوه می‌دهند و بسیار شبیه نرم‌افزارهای مفید و کاربردی رفتار می‌کنند. اما هنگامی ‌که اجرا می‌شوند، خرابی‌ها زیادی برای سیستم ایجاد می‌کنند. از جمله راه‌های ورود تروجان‌ها به سیستم می‌توان به نرم‌افزارهای دانلود شده از اینترنت، جاسازی شدن در متن HTML، ضمیمه شدن به ایمیل و … اشاره کرد. تروجان‌ها برخلاف ویروس‌ها و کرم‌های کامپیوتری قادر به تکثیر خود نیستند.

بدافزار RisePro چیست؟

بدافزار RisePro، در واقع نوعی تروجان است که مشخصات سیستم، اطلاعات ثبت شده در مرورگرها، رمز عبور کیف پول‌های رمز ارز و همچنین تصاویری از صفحه نمایش قربانی را جمع آوری و به سرور فرماندهی و کنترل (C&C) خود ارسال می‌کند. طبق تصویری که در کانال تلگرامی این بدافزار منتشر شده است، این اطلاعات با جزئیات کامل به فروش می‌رسد. افزون بر این، بدافزار RisePro می‌تواند از سرور فرماندهی و کنترل خود فایل اجرایی مخرب شامل باج افزارها و سایر بدافزارها را به منظور اجرا روی سیستم قربانی دریافت نماید.

توضیحات فنی

علائم آلودگی

  • وجود کتابخانه‌های سالم مورد استفاده بدافزار در پوشه‌ای با نام شبه تصادفی در مسیر %Temp%
  • وجود فایل‌های information.txt، passwords.txt و سایر اطلاعات جمع آوری شده در پوشه‌ای با نام شبه تصادفی در مسیر %Temp% (نام این پوشه با پوشه کتابخانه‌ها در یک کاراکتر متفاوت هستند)
  • وجود ارتباطات اینترنتی در مسیرهای ذکر شده در جدول دستورات ارسالی/دریافتی به سرور فرماندهی و کنترل

شرح عملکرد

بدافزار RisePro، برای اجرای قابلیت‌های خود از تعدادی کتابخانه‌های سالم استفاده می‌کند. به این منظور، در ابتدای اجرا آنها را در پوشه‌ای در مسیر %temp% ایجاد می‌کند:

RisePro 1

ارتباط با سرور از راه دور

بدافزار RisePro پس از جمع‌آوری اطلاعات اولیه درخصوص قربانی از جمله آدرس IP و مشخصات سیستم، اقدام به ارتباط با سرور فرماندهی و کنترل خود می‌کند.

ساختار تعدادی از سرورهای فرماندهی و کنترل این بدافزار به شرح تصویر زیر هستند:

RisePro 2

 

 

دستورهای بدافزار RisePro شامل موارد زیر می‌باشد:

 

◊ /get_marks.php :لیست سرویس های موجود این بدافزار برای ارایه به مشتریانش

  نمونه پاسخ دریافتی از سرور:

{“success”:true,”result”:

{“marks”:[{ “_id”:”xxxx”, “user”:”xxxx”, “name”:”BankiCA”, “domains”:”bmo.com,cwbank.com,royalbank.com,vancity.com,servus.ca,coastcapitalsavings.com,alterna.ca,interiorsavings.com,synergycu.ca,mainstreetcu.ca”, “color”:”orange”, “checkCookie”:true, “checkPasswords”:true, “checkHistory”:false, “createdAt”:”2023-01-26T08:49:30.239Z”,”__v”:0},
{“_id”:”xxxx”,

“user”:”xxxx”, “name”:”SetiXyeti”, “domains”:”/vpn/index.html,portal/webclient,remote/login,/vpn/tmindex.html,/LogonPoint/tmindex.html,XenApp1/auth/login.aspx,auth/silentDetection.aspx,/citrix/,/RDWeb/,/+CSCOE+/,/global-protect/,sslvpn.,/dana-na/,/my.policy”, “color”:”purple”, “checkCookie”:true, “checkPasswords”:true, “checkHistory”:true, “createdAt”:”2023-01-26T08:48:59.868Z”,”__v”:0},{“_id”:”xxxx”, “user”:”xxxx”, “name”:”kajabi.com”, “domains”:”kajabi.com,newkajabi.com”, “color”:”red”, “checkCookie”:false, “checkPasswords”:true, “checkHistory”:false, “createdAt”:”2022-12-04T17:23:31.450Z”,”__v”:0},
{“_id”:”xxxx”,

“user”:”xxxx”, “name”:”steampowered.com”, “domains”:”steampowered.com”, “color”:”blue”, “checkCookie”:false, “checkPasswords”:true, “checkHistory”:false, “createdAt”:”2022-12-04T14:57:23.380Z”,”__v”:0},
{“_id”:”xxxx”,

“user”:”xxxx”, “name”:”humblebundle”, “domains”:”humblebundle.com”, “color”:”green”, “checkCookie”:true, “checkPasswords”:true, “checkHistory”:false, “createdAt”:”2022-11-23T15:58:09.126Z”,”__v”:0}]}}

 

 

◊ /get_settings.php: دریافت  تنظیمات از سرور، در این دستور لیست اطلاعاتی که لازم است از سیستم قربانی جمع آوری شود، مشخص می‌شود.

  نمونه پاسخ دریافتی از سرور:

{“success”:true,”result”:

{“settings”:{ “_id”:”xxxx”, “HWIDduplicatesDay”:true, “HWIDduplicates”:false, “IPduplicates”:false, “telegram”:true, “discord”:true, “screenshot”:true, “cryptoWallets”:true, “netHistory”:true,

“staticMarks”:””, “telegramIds”:[], “createdAt”:”2022-06-20T23:57:13.984Z”,”__v”:0}}}

 

 

◊ /get_loader.php: با توجه به کد بدافزار این تابع مربوط به دریافت فایل اجرایی و اجرای آن با تابع ShellExecute می‌باشد.

◊ /get_library.php:  دریافت کتابخانه‌های سالم موردنیاز برای اجرای قابلیت‌های بدافزار، البته در صورتی که به صورت استاتیک در فایل وجود نداشته باشد.

◊ /set_file.php: ارسال فایل‌ از سیستم قربانی به سرور.

جمع آوری اطلاعات

RisePro پس از مشخص شدن نوع اطلاعاتی که لازم است از سیستم قربانی جمع‌آوری شود (پاسخ پرس‌وجوی “/get_settings)، اقدام به گردآوری اطلاعات می‌‌نماید. این اطلاعات در نمونه‌های مشاهده شده دربردارنده موارد زیر می‌باشد:

  • اطلاعات سخت‌افزاری و نرم‌افزاری سیستم قربانی
  • اطلاعات سیستم قربانی شامل اطلاعات سیستم عامل، زبان و زمان سیستم قربانی، مشخصات سخت افزاری، لیست پردازه‌ها و فهرست نرم افزارهای سیستم است که پس از جمع آوری، در یک فایل متنی با نام Information.txt ذخیره می‌شود.

بدافزار با استفاده از آدرس‌های زیر آدرس IP قربانی را به دست می‌آورد:

https://ipinfo.io

https://db-ip.com

https://www.maxmind.com/en/locate-my-ip-address

 

تصویر ذیل نمونه‌ای از اطلاعات جمع‌آوری شده توسط این بدافزار را نشان می‌دهد:

 

RisePro 3

  • اسکرین‌شات از صفحه نمایش قربانی
  • اطلاعات مرورگرها، رمز عبور ثبت شده در کیف پول‌های ارز دیجیتال و تعدادی نرم افزار دیگر : در نمونه های مشاهده شده، نرم افزارهای موردنظر بدافزار شامل موارد زیر بودند.

♦ مرورگرها:

Brave-Browser, CryptoTab Browser, Yandex, Atom, BlackHaw, Pale Moon, IceDragon
7Star, ChromePlus, Chromium, ChromiumViewer, Amigo, Chedot, Iridium, CentBrowser
Vivaldi, Elements Browser, Epic Privacy Browser, Citrio, Coowon, QIP Surf, Dragon, Orbitum
Torch, Comodo, 360Browser, Maxthon3, K-Melon, K-Meleon, Sputnik, Nichrome,
CocCoc browser, NetboxBrowser, Firefox, Waterfox, Cyberfox, liebao, Kometa

♦ کیف پول‌های دیجیتالی:

Terra, SaturnWallet, EQUALWallet, NiftyWallet, BitAppWallet, PaliWallet, NiftyWallet
LiqualityWallet, Iwallet, MewCx, ForboleX, Metamask , Coinbase, RoninWallet, CloverWallet
CloverWallet

♦ سایر نرم افزارها:

Battle.net, NVIDIA GeForce Experience, Thunderbird, uCozMedia, Authenticator, Wombat, KardiaChain

 

اطلاعات در فایلی به نام passwords.txt ذخیره می‌شود که در ابتدای آن، نام بدافزار و آدرس تلگرامی آن درج شده است.

روش مقابله و پاکسازی سیستم

 

 

RisePro 4

 

 

آنتی ویروس پادویش این بدافزار را شناسایی کرده و از سیستم حذف می‌کند. جهت پیشگیری از آلودگی احتمالی به این بدافزار توصیه می‌شود از دریافت فایل از منابع نامعتبر که می‌تواند منجر به آلودگی سیستم شود، خودداری کنید.

 

  مقاله برای 7 نفر مفید بود.