هفته گذشته، گروه تحلیل شرکت رامونا پردازش نگار در جریان رصد دارکوب و کانالهای اطلاعرسانی مهاجمان به وبسایتی در شبکه TOR برخوردند که در آن انواع بدافزارها به فروش میرسد. گردانندگان آن از مجموعه بدافزارهای عرضهشده در وبسایت مذکور با عنوان Eternity Project یاد میکنند. در این گزارش بدافزارهای Eternity و نحوه بازاریابی گردانندگان آن را که به نظر میرسد در ابتدای راه قرار دارند مورد بررسی قرار دادهایم.
بـدافزارهـا
Eternity Project شامل بدافزارهای «سارق اطلاعات» (Stealer)، «استخراجکننده رمزارز» (Miner)، «جاعل نشانی رمزارز» (Clipper)، «باجافزار» (Ransomware)، «کرم» (Worm) و یک بات اجراکننده DDoS است.
سـرقت اطلاعـات
همانطور که در شکل زیر پیداست Eternity Stealer قادر به جمعآوری دادههای ذخیرهشده در مرورگرها، نرمافزارهای به اصطلاح Mail Client، پیامرسانها، کیفها/افزونههای رمزارز، برنامههای VPN Client، ابزارهای FTP Client، نرمافزارهای بازی و حتی برخی اطلاعات اصالتسنجی سیستمی است.
استخراج رمزارز
Eternity Miner پس از اجرا، اقدام به استخراج بیسروصدای رمزارز مونرو به نفع مهاجم، با استفاده از منابع دستگاه قربانی میکند.
جعـل نشـانیهای رمـزارز
Eternity Clipper محتوای کلیپبرد را رصد کرده و در صورت مطابقت با نشانیهای رمزارز، آن را با نشانی کیف رمزارز مهاجم جایگزین میکند. بدینترتیب در صورتی که قربانی یک نشانی کیف رمزارز را در کلیپبرد کپی کند در زمان Paste کردن، نشانی متفاوتی در فیلد مربوطه قرار میگیرد و اگر دقت کافی را نداشته باشد مبلغ به کیف رمزارز مهاجم واریز میشود.
بـاجافـزار
Eternity Ransomware که مطابق با توضیحات درجشده در تصویر زیر، امکان ساخت باجافزاری سفارشی را برای خریدار فراهم میکند.
کـرم
Eternity Worm از دیگر بدافزارهای Eternity است که قادر به توزیع بدافزار بهصورت محلی و شبکهای و در بسترهای رایانش ابری زیر است:
- Google Drive
- One Drive
- DropBox
Eternity Worm میتواند کد دلخواه مهاجم را نیز بر روی دستگاه قربانی دریافت، نصب و در ادامه توزیع کند. همچنین این امکان را برای خریدار خود فراهم میسازد تا پیامهای مورد نظر او را به فهرست دوستان قربانی در پیامرسانهای دیسکورد و تلگرام ارسال کند.
در وبسایت Eternity در دارکوب به بات DDoS نیز اشاره شده که در زمان انتشار این گزارش به نظر میرسد هنوز به بهرهبرداری نرسیده است.
کانال تلگرام
گردانندگان بدافزارهای Eternity برای بازاریابی و برقراری ارتباط با مشتریان خود اقدام به راهاندازی کانال و باتی پیشرفته در تلگرام کرده بودند که به تازگی هر دوی آنها از سوی تلگرام مسدود شده است. این افراد در اواخر اردیبهشت نیز کانال و باتی جدیدی را در این پیامرسان ایجاد کردند که حداقل تا زمان انتشار این گزارش کماکان فعال است.
بازاریابی
بر طبق توضیحات مندرج در وبسایت Eternity به واسطهها، 30 درصد از مبلغ فروش تعلق میگیرد. اگر هم کسی در فروش به بیش از 15 مشتری نقش داشته باشد این سهم به 40 درصد افزایش پیدا میکند.
همچنین گردانندگان Eternity به بهانههای مختلف که نمونهای از آن را در تصویر زیر میبینید اقدام به دادن تخفیف برای جذب مشتری بیشتر میکنند.
در حال توسعه
بدافزارهای Eternity و زیرساختهای آن همچنان در حال توسعه است. احتمالاً در آینده و با تکامل هر چه بیشتر آن شاهد افزایش خریداران این تهدید نوظهور و دامنه اهداف آن خواهیم بود.