رامونا پردازش نگار

حراج داده‌های سرقتی در Industrial Spy

Industrial Spy عنوان بازاری در «وب تاریک» (Dark Web) است که در آن داده‌های سرقت‌شده از شرکت‌های اکثراً صنعتی به فروش می‌رسد. ظهور و فعالیت چنین بازارهایی موضوع تازه‌ای نیست؛ آن چه که توجه ما را به آن جلب کرده فایلی است که پس از اجرا بر روی دستگاه قربانی، Industrial Spy را تبلیغ می‌کند. در این مطلب ضمن بررسی مختصر Industrial Spy نگاهی نیز به این فایل مبلغ می‌اندازیم.

بازار

تصویر زیر صفحه اصلی Industrial Spy را پس از ثبت نام و ورود به این بازار نشان می‌دهد.

داده‌ها در این بازار در سه سطح «رایگان»، «عمومی» و «ویژه»، هر یک با شرایط متفاوت عرضه می‌شوند. با این توضیح که در زمان بررسی وب‌سایت توسط رامونا پردازش نگار، دسته «ویژه» فاقد هر گونه رکوردی بود.

در Industrial Spy برای داده‌های هر شرکتی که نام آن در دسته «عمومی» قرار گرفته قیمت‌های ده‌ها میلیون دلاری در نظر گرفته شده است. اما به نظر می‌رسد که هر کدام از فایل‌ها را می‌توان به‌صورت جداگانه با قیمت تنها چند دلار نیز خریداری کرد.

در بخش «رایگان» هم داده‌های متعلق به برخی شرکت‌ها قابل دریافت است. احتمالاً هدف از انجام آن تشویق افراد بیشتر به ورود و عضویت در این بازار است.

خوشبختانه، حداقل تا تاریخ نگارش این مطلب، ما داده‌ای متعلق به کسب‌وکارها و سازمان‌های ایرانی در این بازار مشاهده نکردیم.

فایل مبلغ

28 فروردین، ما به فایلی مشکوک با هش 333d29ffe93e71b521057698adf722e3 دست پیدا کردیم که در زمان اجرا اقدام به انجام امور زیر می‌کند.

همانند آن چه در باج‌افزارها شاهد هستیم، فایلی با عنوان README.txt را که تصویر آن در زیر نمایش داده شده در پوشه‌های دستگاه کپی می‌کند.

در ادامه، فایل TranscodedWallpaper.jpg را ایجاد کرده و تصویر پس‌زمینه دسکتاپ را مطابق با شکل زیر به آن تغییر می‌دهد.

در نهایت، با اجرای فرمان زیر و ایجاد وقفه‌ای کوتاه فایل اجرایی خود را از روی دستگاه حذف می‌کند.

cmd.exe /C ping 1.1.1.1 -n 1 -w 3000 > Nul & Del /f /q "[File Path]\[File Name].exe"

فایل مذکور عملکردی ساده داشته و فاقد تکنیک‌هایی همچون «مبهم‌سازی» (Obfuscation) و بی‌اثر کردن محصولات امنیتی است.

هم در فایل README.txt و هم در TranscodedWallpaper.jpg صرفاً بازار Industrial Spy معرفی شده است. به عبارت دیگر، مهاجم یا مهاجمان تلاش کرده‌اند تا کاربر را متقاعد به مراجعه به وب‌سایت بازار در شبکه Tor کنند.

بررسی‌های ما نشان می‌دهد یکی از راه‌های انتشار این فایل، بدافزار AgentTesla است. وب‌سایت Bleeping Computer نیز در گزارشی در خصوص Industrial Spy باج‌افزار STOP یا Djvu را که اتفاقاً در ایران نیز شیوع بالایی دارد در انتشار این فایل دخیل دانسته است. باج‌افزار STOP/Djvu معمولاً از طریق برنامه‌های در ظاهر کرک به دستگاه قربانیان راه می‌یابد.

اشتراک در
اطلاع از
0 نظرات
بازخورد (Feedback) های اینلاین
مشاهده همه دیدگاه ها
مطالب اخیر
LockBit؛ فعال‌ترین باج‌افزار جهان از نگاهی نزدیک
فایل‌های فارسی ناقل اکسپلویت Follina
BlackCat؛ نمونه‌ای از خلاقیت بی‌پایان گردانندگان باج‌افزار
ترمیم بیش از ۶۰ آسیب‌پذیری در محصولات مایکروسافت
ESXi؛ این بار هدف باج‌افزار Black Basta
Symbiote؛ پنهانی‌ترین بدافزار تحت Linux
تکنیکی جدید برای انتشار بدافزار
بهره‌جویی گسترده از آسیب‌پذیری Follina
چالش‌های نیروی انسانی متخصص در حوزه امنیت سایبری
راهکاری موقت برای آسیب‌پذیری روز-صفر CVE-2022-30190
ایران؛ اولین کشور از لحاظ کثرت بدافزارهای موبایلی
خرید VMware توسط Broadcom با قیمت ۶۱ میلیارد دلار
آسیب‌پذیری ضدویروس‌ها؛ نگاهی به واکنش‌ها
41 ضعف امنیتی دیگر در فهرست آسیب‌پذیری‌های در حال بهره‌جویی
آلوده‌سازی به کی‌لاگر از طریق فایل PDF
Eternity؛ مجموعه‌ای از بدافزارهای مخرب
هشدار اضطراری در خصوص آسیب‌پذیری‌های اخیر VMware
SQLPS؛ پروسه‌ای معتبر در تسخیر استخراج‌کنندگان رمزارز
رایج‌ترین خطاها از نگاه 8 آژانس امنیتی
HTML؛ در نقش پیوست ایمیل فیشینگ

دانلود

لطفا برای دریافت لینک دانلود اطلاعات خواسته شده را وارد نمایید
0
علاقمندیم که دیدگاه‌های شما را بدانیم! لطفا نظر دهید.x
()
x
اسکرول به بالا