Industrial Spy عنوان بازاری در «وب تاریک» (Dark Web) است که در آن دادههای سرقتشده از شرکتهای اکثراً صنعتی به فروش میرسد. ظهور و فعالیت چنین بازارهایی موضوع تازهای نیست؛ آن چه که توجه ما را به آن جلب کرده فایلی است که پس از اجرا بر روی دستگاه قربانی، Industrial Spy را تبلیغ میکند. در این مطلب ضمن بررسی مختصر Industrial Spy نگاهی نیز به این فایل مبلغ میاندازیم.
بازار
تصویر زیر صفحه اصلی Industrial Spy را پس از ثبت نام و ورود به این بازار نشان میدهد.
دادهها در این بازار در سه سطح «رایگان»، «عمومی» و «ویژه»، هر یک با شرایط متفاوت عرضه میشوند. با این توضیح که در زمان بررسی وبسایت توسط رامونا پردازش نگار، دسته «ویژه» فاقد هر گونه رکوردی بود.
در Industrial Spy برای دادههای هر شرکتی که نام آن در دسته «عمومی» قرار گرفته قیمتهای دهها میلیون دلاری در نظر گرفته شده است. اما به نظر میرسد که هر کدام از فایلها را میتوان بهصورت جداگانه با قیمت تنها چند دلار نیز خریداری کرد.
در بخش «رایگان» هم دادههای متعلق به برخی شرکتها قابل دریافت است. احتمالاً هدف از انجام آن تشویق افراد بیشتر به ورود و عضویت در این بازار است.
خوشبختانه، حداقل تا تاریخ نگارش این مطلب، ما دادهای متعلق به کسبوکارها و سازمانهای ایرانی در این بازار مشاهده نکردیم.
فایل مبلغ
28 فروردین، ما به فایلی مشکوک با هش 333d29ffe93e71b521057698adf722e3 دست پیدا کردیم که در زمان اجرا اقدام به انجام امور زیر میکند.
همانند آن چه در باجافزارها شاهد هستیم، فایلی با عنوان README.txt را که تصویر آن در زیر نمایش داده شده در پوشههای دستگاه کپی میکند.
در ادامه، فایل TranscodedWallpaper.jpg را ایجاد کرده و تصویر پسزمینه دسکتاپ را مطابق با شکل زیر به آن تغییر میدهد.
در نهایت، با اجرای فرمان زیر و ایجاد وقفهای کوتاه فایل اجرایی خود را از روی دستگاه حذف میکند.
cmd.exe /C ping 1.1.1.1 -n 1 -w 3000 > Nul & Del /f /q "[File Path]\[File Name].exe"
فایل مذکور عملکردی ساده داشته و فاقد تکنیکهایی همچون «مبهمسازی» (Obfuscation) و بیاثر کردن محصولات امنیتی است.
هم در فایل README.txt و هم در TranscodedWallpaper.jpg صرفاً بازار Industrial Spy معرفی شده است. به عبارت دیگر، مهاجم یا مهاجمان تلاش کردهاند تا کاربر را متقاعد به مراجعه به وبسایت بازار در شبکه Tor کنند.
بررسیهای ما نشان میدهد یکی از راههای انتشار این فایل، بدافزار AgentTesla است. وبسایت Bleeping Computer نیز در گزارشی در خصوص Industrial Spy باجافزار STOP یا Djvu را که اتفاقاً در ایران نیز شیوع بالایی دارد در انتشار این فایل دخیل دانسته است. باجافزار STOP/Djvu معمولاً از طریق برنامههای در ظاهر کرک به دستگاه قربانیان راه مییابد.