بدافزارهای Information Stealer، نوعی از نرمافزارهای مخرب هستند که طراحی شدهاند تا مخفیانه به سیستم رایانهای قربانی وارد شوند و اطلاعات حساس و محرمانه را استخراج کنند. هدف این بدافزارها وسیع است و مواردی همچون اطلاعات شخصی، مشخصات ورود به سایتها، پسوردها، اطلاعات مالی و…
بدافزار Rage Stealer شامل چندین قابلیت میشود، مانند جمعآوری مشخصات ورود (Login Credentials) پسورد، کوکی، مشخصات کارتهای بانکی و سایر اطلاعات مربوط به کاربر که در مرورگرهای شناخته شده ذخیره شدهاند. همینطور برای اجرا و پردازش و استخراج اطلاعات قابلیت Multi Thread برای آن تعریف شده که بتواند حجم اطلاعات را بهدرستی مدیریت کند. بهعلاوه اینکه این بدافزار اطلاعات کاربر در کیف پولهای رمزارزها، اطلاعات مربوط به اپلیکیشنهای VPN، پلتفرمهایی همچون دیسکورد، Filezila، تلگرام و Vimeworld را نیز هدف قرار داده است. اطلاعات جمعآوریشده در یک مسیر با ساختار خاص و به شکل فشرده شده آماده میشوند تا عملیات استخراج برای آنها انجام شود.
بدافزار برای استخراج اطلاعات با API تلگرام ارتباط برقرار میکند تا فایلهای فشرده شده را آپلود کند. این عملیات باعث ایجاد لاگی درباره سیستم قربانی و مقدار دادههای استخراج شده میشود. پاسخ ایجاد شده از سمت API تلگرام نیز موفقیت یا شکست عملیات آپلود را مشخص میکند.
نکته اینجاست که فایل اجرایی بدافزار به شکل Minecraft.exe به دست قربانی میرسد و به نظر می رسد که صنعت گیمینگ و بازیکنان را هدف قرار داده باشد.
تحقیقات در مورد این عامل تهدید نشان میدهد که قبلاً موردی مشابه به نام priv8 stealer وجود داشته که قابلیتهای آن خیلی شبیه به Rage Stealer بوده است. به نظر میرسد که یا عامل تهدید قصد تغییر نام داشته یا فعالیت خود را مجدداً ازسرگرفته است.
با عملیات OSINT انجام شده متوجه شدیم که سازنده بدافزار از طریق کانال تلگرامی اقدام به جذب مشتری و فروش بدافزار خودکرده است، همچنین با دریافت فیدبک به دنبال بهبود بدافزار و افزایش فروش میباشد. همچنین نرمافزار Builder (نرمافزاری برای تولید جاسوسافزار به شکل شخصیسازیشده) آن را نیز به قیمت بالاتر به فروش میرساند.
راه هایی برای کاهش این خطر پذیری
- عدم کلیک بر روی پیامها و ایمیلهای حاوی لینک ناشناس
- عدم استفاده از نرمافزارهای کرک شده
- استفاده از منابع معتبر برای دانلود نرمافزار
روش های تشخیص این حمله
در صورت استفاده از سیستم شناسایی و پاسخ در نقاط پایانی هوپان (EDR) که یکی از اساسی ترین ماژول های راهکار گسترده شناسایی و پاسخ نخجیرپان (XDR) میباشد، تحلیل فعالیت های مرتبط و هشدارهای زیر مشاهده می گردد:
- مشاهده و جلوگیری از ورود بدافزار به سیستم
- شناسایی فعالیت ذخیره و استخراج دادهها
- جلوگیری از ارتباط با سیستم مهاجم و خروج دادهها
این تهدید از تکنیک های زیر که در جدول مایتر اتک موجود می باشد استفاده نموده است.
| Execution | Persistence | Defense Evasion | Discovery | Exfiltration |
| AppleScript | .bash_profile and .bashrc | Access Token Manipulation | Account Discovery | Automated Exfiltration |
| CMSTP | Accessibility Features | Binary Padding | Application Window Discovery | Data Compressed |
| Command-Line Interface | Account Manipulation | BITS Jobs | Browser Bookmark Discovery | Data Encrypted |
| Compiled HTML File | AppCert DLLs | Bypass User Account Contr | Domain Trust Discovery | Data Transfer Size Limits |
| Component Object Model | AppInit DLLs | Clear Command History | File and Directory Discovery | Exfiltration Over Alternative Protocol |
| Control Panel Items | Application Shimming | CMSTP | Network Service Scanning | Exfiltration Over Command and Control Channel |
| Dynamic Data Exchange | Authentication Package | Code Signing | Network Share Discovery | Exfiltration Over Other Network Medium |
| Execution through API | BITS Jobs | Compile After Delivery | Network Sniffing | Exfiltration Over Physical Medium |
| Execution through Module | Bootkit | Compiled HTML File | Password Policy Discovery | Scheduled Transfer |
| Exploitation for Client Exec | Browser Extensions | Component Firmware | Peripheral Device Discovery | |
| Graphical User Interface | Change Default File Association | Component Object Model | Permission Groups Discovery | |
| InstallUtil | Component Firmware | Connection Proxy | Process Discovery | |
| Launchctl | Component Object Model Hijackin | Control Panel Items | Query Registry | |
| Local Job Scheduling | Create Account | DCShadow | Remote System Discovery | |
| LSASS Driver | DLL Search Order Hijacking | Deobfuscate/Decode Files | Security Software Discovery | |
| Malicious file | Dylib Hijacking | Disabling Security Tools | Software Discovery | |
| Mshta | Emond | DLL Search Order Hijacking | System Information Discovery | |
| PowerShell | External Remote Services | DLL Side-Loading | System Network Configuration Discovery | |
| Regsvcs/Regasm | File System Permissions Weakness | Execution Guardrails | System Network Connections Discovery | |
| Regsvr32 | Hidden Files and Directories | Exploitation for Defense Ev | System Owner/User Discovery | |
| Rundll32 | Hooking | Extra Window Memory Inj | System Service Discovery | |
| Scheduled Task | Hypervisor | File and Directory Permissi | System Time Discovery | |
| Scripting | Image File Execution Options Injection | File Deletion | Virtualization/Sandbox Evasion | |
| Service Execution | Kernel Modules and Extensions | File System Logical Offsets | ||
| Signed Binary Proxy Executi | Launch Agent | Gatekeeper Bypass | ||
| Signed Script Proxy Executi | Launch Daemon | Group Policy Modification | ||
| Source | Launchctl | Hidden Files and Directories | ||
| Space after Filename | LC_LOAD_DYLIB Addition | Hidden Users | ||
| Third-party Software | Local Job Scheduling | Hidden Window | ||
| Trap | Login Item | HISTCONTROL | ||
| Trusted Developer Utilities | Logon Scripts | Image File Execution Options Injection | ||
| User Execution | LSASS Driver | impair defenses | ||
| Windows Management Ins | Modify Existing Service | Indicator Blocking | ||
| Windows Remote Manage | Netsh Helper DLL | Indicator Removal from Tools | ||
| XSL Script Processing | New Service | Indicator Removal on Host | ||
| Office Application Startup | Indirect Command Execution | |||
| Path Interception | Install Root Certificate | |||
| Plist Modification | InstallUtil | |||
| Port Knocking | Launchctl | |||
| Port Monitors | LC_MAIN Hijacking | |||
| PowerShell Profile | Masquerading | |||
| Rc.common | Modify Registry | |||
| Re-opened Applications | Mshta | |||
| Redundant Access | Network Share Connection Removal | |||
| Registry Run Keys / Startup Folder | NTFS File Attributes | |||
| Scheduled Task | Obfuscated Files or Information | |||
| Screensaver | Parent PID Spoofing | |||
| Security Support Provider | Plist Modification | |||
| Server Software Component | Port Knocking | |||
| Service Registry Permissions Weakness | Process Doppelgänging | |||
| Setuid and Setgid | Process Hollowing | |||
| Shortcut Modification | Process Injection | |||
| SIP and Trust Provider Hijacking | Redundant Access | |||
| Startup Items | Regsvcs/Regasm | |||
| System Firmware | Regsvr32 | |||
| Systemd Service | Rootkit | |||
| Time Providers | Rundll32 | |||
| Trap | Scripting | |||
| Valid Accounts | Signed Binary Proxy Execution | |||
| Web Shell | Signed Script Proxy Execution | |||
| Windows Management Instrumen | SIP and Trust Provider Hijacking | |||
| Winlogon Helper DLL | Software Packing | |||
| Space after Filename | ||||
| Template Injection | ||||
| Timestomp | ||||
| Trusted Developer Utilities | ||||
| Valid Accounts | ||||
| Virtualization/Sandbox Evasion | ||||
| Web Service | ||||
| XSL Script Processing | ||||