کشف نوع جدید بدافزار ExelaStealer که منجر به سرقت داده‌های خصوصی خواهد شد!

یک ابزار سرقت اطلاعات جدید به نام ExelaStealer در سال 2023 کشف شده و به جمع بدافزارهای معروف دیگری مانند RedLine، Raccoon و Vidar پیوست.
شرکت FortiGuard Labs، یک شرکت تحقیقاتی پیشرو در زمینه امنیت سایبری، برای نخستین بار در ماه آگوست خبر از کشف یک بدافزار جدید به نام ExelaStealer داد، اما اکنون این شرکت یافته‌‌‌‌‌های بیشتری را در مورد این تهدید جدید فاش کرده است. 
ابزار ExelaStealer یک بدافزار منبع باز است که می‌‌‌‌‌تواند با پرداخت هزینه، شخصی‌‌‌‌‌سازی شود. این ابزار به زبان پایتون نوشته شده است، اما در صورت نیاز می‌‌‌‌‌تواند از زبان‌‌‌‌‌های دیگری مانند جاوا اسکریپت نیز استفاده کند. بدافزار ExelaStealer به دلیل استراتژی تبلیغاتی خود در دارک‌وب مورد توجه قرار گرفته است. توسعه‌دهندگان هر دو نسخه رایگان و پولی را با قیمت‌‌‌‌‌های متفاوت، بسته به ویژگی‌‌‌‌‌های آن، ارائه داده‌‌‌‌‌اند. این تبلیغات توسط شخصی به نام quicaxd ارسال می‌‌‌‌‌شود که به نظر می‌‌‌‌‌رسد توسعه‌‌‌‌‌دهنده و فروشنده اصلی ExelaStealer باشد.
 

شکل 1) تبلیغاتی که جزئیات قابلیت‌های اصلی بدافزار و برخی از گزینه‌های ساخت را نشان می‌دهد.

شکل 2) تبلیغ بدافزار ExelaStealer توسط quicaxd

همانطور که در شکل 2 نشان داده شده است، هزینه ماهانه استفاده از این ابزار 20 دلار، هزینه 3 ماه استفاده 45 دلار و هزینه استفاده مادام العمر آن 120 دلار آمریکا می‌‌‌‌‌‌باشد. کانال تلگرامی این بدافزار حداقل تا ماه آگوست فعال بوده است، هر چند ظاهراً این کانال در حال حاضر دیگر در دسترس نیست. این کانال امکان خرید نسخه‌‌‌‌‌‌های پولی را فراهم می‌‌‌‌‌‌آورد؛ همچنین یک لینک GitHub  نیز برای دسترسی به نسخه متن باز این ابزار در این کانال قرار گرفته است.

شکل 3) کانال تلگرامی تبلیغات بدافزار ExelaStealer توسط quicaxd

برای ساخت ExelaStealer، باید به کد منبع و یک میزبان مبتنی بر ویندوز دسترسی داشت. فایل اصلی Exela.py است که توسط فایل obf.py رمزنگاری شده است تا تجزیه و تحلیل آن دشوارتر شود.
 

شکل 4) کد منبع Exela.py

پس از دانلود کد منبع باز این بدافزار، فرایند ساخت آن با استفاده از یک فایل دسته‌‌‌‌‌‌‌ای به زبان پایتون به نام builder.py آغاز می‌‌‌‌‌‌‌شود.
 

شکل 5) فایل‌‌‌‌‌‌‌‌های ساخت ExelaStealer

فایل سازنده از یک فایل به نام obf.py در ایجاد ارتباطات ضروری، جهت رمزنگاری در کد بدافزار به کمک فایل Obfuscated.py و سخت‌‌‌‌‌‌‌‌‌تر کردن روند آنالیز آن استفاده می‌‌‌‌‌‌‌‌‌کند. 
 

شکل 6) obf.py فرایند اصلی رمزنگاری کد را مدیریت می‌‌‌‌‌‌‌‌‌کند

روش آلوده‌‌‌‌‌‌‌‌‌سازی استفاده شده توسط ExelaStealer مشخص نیست، اما می‌تواند شامل روش‌های مختلفی مانند فیشینگ، حفره‌های آب (watering holes) یا سایر روش‌های ارسال بدافزار باشد. مقدار رشته دودویی زیر به عنوان یک ظرف و مرحله ابتدایی استقرار عمل می‌‌‌‌‌‌‌‌‌کند. با اجرای این رشته، فایل اجرایی sirket-ruhsat-pdf.exe ایجاد شده و ضمناً یک نمایشگر فایل PDF جهت نمایش یک سند فریبنده BNG 824 ruhsat.pdf به کاربر، راه اندازی می‌‌‌‌‌‌‌‌‌شود. هر دو فایل در ریشه درایو C قرار می‌‌‌‌‌‌‌‌‌گیرند.

sirket-ruhsat-pdf.exe (f96bc306a0e3bc63092a04475dd4a1bac75224df242fa9fca36388a1978ce048)
 

شکل 7) فایل‌‌‌‌‌‌‌‌‌های تازه ایجاد شده sirket-ruhsat-pdf.exe و BNG 824 ruhsat.pdf

فایل sirket-ruhsat-pdf.exe به صورت خودکار سعی می‌‌‌‌‌‌‌‌‌کند یک نمایشگر سازگار پیدا کند و "BNG 824 ruhsat.pdf" را اجرا کند. این فایل PDF یک کپی از گواهی ثبت نام خودروی داچیا داستر ترکیه است. این سند کاملاً خوش خیم و یک فریب بصری ساده برای کاربر است.

شکل 8) سند pdf فریب از یک مدرک ثبت خودرو ترکیه‌‌‌‌‌‌‌‌‌ای

فایل sirket-ruhsat-pdf.exe یکPyInstaller  قابل اجرا است و به عنوان یک ابزار، مشابه pyinstxtractor می‌‌‌‌‌‌‌‌‌تواند محتویات آرشیو را جهت بررسی استخراج نماید.
 

شکل 9) محتویات آرشیو PyInstaller  برای sirket-ruhsat-pdf.exe

فایل اجرایی به احتمال زیاد با یک گواهی تقلبی یا نامعتبر امضا شده است و از نام «Runtime Broker» استفاده می‌کند که یک فرآیند قانونی مایکروسافت است. 
شکل 10 نسخه کامپایل شده فایل "Obfuscated.py" را نشان می‌‌‌‌‌‌‌‌‌دهد. با استفاده از ابزاری مانند pycdc  (یک دی‌‌‌‌‌‌‌‌‌کامپایلر/دی‌‌‌‌‌‌‌‌‌اسمبلر بایت-کدهای پایتونی موجود در آدرس https://github.com/zrax/pycdc)، کد موجود در Obfuscated.pyc را می‌‌‌‌‌‌‌‌‌توان دی‌‌‌‌‌‌‌‌‌کامپایل کرد.
 

شکل 10) فایل دی کامپایل شده Obfuscated.pyc

نام تمامی متغیرها و توابع به صورت پیچیده‌ای رمز شده و مبهم هستند و زمان زیادی برای رمزگشایی آن‌ها صرف شده است. این داده رمز شده که به blob معروف شده است، در انتهای کد و به وسیله یک تابع، رمزگشایی و اجرا می‌‌‌‌‌‌‌‌‌شود. در شکل 11، بخشی از محتوای رمز شده و تابع رمزگشایی آن دیده می‌‌‌‌‌‌‌‌‌شود. 
 

شکل 11) تابع رمزگشایی blob در Obfuscated.pyc

در بررسی و آنالیزهای پویا مشخص شد که با تکمیل اولین فعالیت sirket-ruhsat-pdf.exe، این بدافزار خود را در یک پروسه جدید جایگزین نموده است.
 

شکل 12) اجرای نسخه دوم sirket-ruhsat-pdf.exe

در ادامه ExelaStealer  دو دستور زیر را اجرا می‌‌‌‌‌‌‌‌‌کند:

•    C:\Windows\system32\cmd.exe /c "ver"
•    wmic csproduct get uuid

این دستورات نسخه ویندوز و شناسه UUID (Universally Unique Identifier)  سیستم میزبان را بر می‌گردانند. در ادامه یک دستور PowerShell رمز شده با base-64 اجرا می‌‌‌‌‌‌‌‌‌شود که با رمزگشایی این دستور مشخص شد که این دستور اقدام به گرفتن عکس از وضعیت جاری صفحه نمایش می‌‌‌‌‌‌‌‌‌کند. در ادامه با استفاده از مجموعه دستورات زیر، اطلاعات Clipboard ویندوز، اطلاعات پایه سیستم، اطلاعات پایه دیسک سخت، اطلاعات کاربر، وضعیت دیواره آتش و حتی وضعیت و پروفایل WLAN جمع‌‌‌‌‌‌‌‌‌آوری می‌‌‌‌‌‌‌‌‌شود:

• powershell.exe -Command " $clipboardData = Get-Clipboard -Format Image $destinationPath = \"C:\Users\user\AppData\Local\Temp\00000000-0000-0000-0000-D05099DB2397\last_clipboard_image.png\" $clipboardData.Save($destinationPath)"
•    C:\Windows\system32\cmd.exe /c "echo ####System Info#### & systeminfo & echo ####System Version#### & ver & echo ####Host Name#### & hostname & echo ####Environment Variable#### & set & echo ####Logical Disk#### & wmic logicaldisk get caption,description,providername & echo ####User Info#### & net user & echo ####Startup Info#### & wmic startup get caption,command & echo ####Firewallinfo#### & netsh firewall show state "
•    netsh wlan export profile
•    C:\Windows\system32\cmd.exe /c "netsh wlan show profile

این اطلاعات جمع‌‌‌‌‌‌‌‌‌آوری شده، قبل از ارسال به TA، در یک پوشه که با نام UUID دستگاه و در مسیر C:\Users\<user>\AppData\Local\Temp\ ایجاد شده است، ذخیره می‌‌‌‌‌‌‌‌‌شود. همه فایل‌‌‌‌‌‌‌‌‌های متنی موجود در این مسیر دارای لینکی به کانال تلگرامی TA می‌‌‌‌‌‌‌‌‌باشد.
 

شکل 13) داده‌‌‌‌‌‌‌‌‌های جمع‌آوری‌شده و ذخیره‌شده توسط ExelaStealer در دیسک سخت محلی

شکل 14) نمونه داده‌‌‌‌‌‌‌‌‌های جمع آوری شده از Clipboard ویندوز

در نهایت اطلاعات جمع‌‌‌‌‌‌‌‌‌آوری‌شده در قالب یک فایل فشرده Zip با نام مشابه نام فولدر ذخیره‌‌‌‌‌‌‌‌‌سازی (UUID دستگاه) گردآوری‌شده و در زمان مناسب به کمک یک Discord webhook (https://discord.com/developers/docs/resources/webhook) به کانال Discord تحت کنترل TA ارسال می‌‌‌‌‌‌‌‌‌شوند.
بدافزار ExelaStealer یک ابزار سرقت اطلاعات جدید و همه کاره است که می تواند تهدیدی جدی برای داده‌‌‌‌‌‌‌‌‌ها و حریم خصوصی کاربران باشد.

محصولات تحت تأثیر
بدافزار ExelaStealer سیستم‌های مبتنی بر ویندوز را مورد هدف قرار می‌دهد و انواع مختلفی از اطلاعات مانند رمز عبور، کارت‌های اعتباری، کوکی‌ها، جلسات و کلیدهای فشرده شده را به سرقت می‌برد. اطلاعات به سرقت رفته می‌‌‌‌‌‌‌‌‌تواند تهدیدی جدی برای داده‌‌‌‌‌‌‌‌‌ها و حریم خصوصی کاربران باشد. این اطلاعات می‌‌‌‌‌‌‌‌‌توانند  برای حملات آتی مورد استفاده قرار بگیرند.

توصیه‌های امنیتی
براساس یافته‌‌‌‌‌‌‌‌‌های شرکت Fortinet، نسخه فعلی بدافزار ExelaStealer رد پاهای زیر را از خود برجای می-گذارد:

•    W32/ExelaStealer.0943!tr
•    W32/ExelaStealer.C93A!tr

توصیه می‌‌‌‌‌‌‌‌‌شود تا کاربران ویندوزی فایل‌‌‌‌‌‌‌‌‌های دریافتی خود را منحصراً از منابع معتبر دریافت نمایند. ضمناً تمامی فایل‌‌‌‌‌‌‌‌‌ها، قبل از باز و اجرا شدن، باید توسط یک آنتی ویروس به‌روز اسکن شود. فعال کردن گزینه‌‌‌‌‌‌‌‌‌های امنیتی اضافی نظیر فایروال، جهت مسدودسازی انتقال ترافیک به آدرس‌‌‌‌‌‌‌‌‌های مورد انتظار این بدافزار، برروی سیستم‌‌‌‌‌‌‌‌‌های شخصی نیز توصیه می‌‌‌‌‌‌‌‌‌گردد.
لیست و مشخصات فایل‌‌‌‌‌‌‌‌‌های همراه با این بدافزار در جدول زیر آورده شده است.

جدول 1) فهرست IOCهای مبتنی بر فایل

جدول 2) فهرست IOCهای مبتنی بر شبکه

منابع خبر:

[1] https://cybersecuritynews.com/new-exelastealer-attack-windows/
[2] https://www.fortinet.com/blog/threat-research/exelastealer-infostealer-enters-the-field