مهاجمان از داده های بانکی سرقت شده به عنوان طعمه فیشینگ برای استقرار bit RAT استفاده می کنند

گاهی مهاجمان سایبری می توانند از اطلاعات ناشی از نقض داده ها برای تقویت حملات خود استفاده کنند. برای نمونه حمله فیشینگ با استفاده از سرقت اطلاعات مشتری از یک بانک کلمبیایی. این گروه سارقان داده ، در وهله اول مسئول نقض داده ها می باشند.آنها یک برنامه تروجان از رده خارج شده به نام bit RAT را توزیع می کنند که از فوریه 2021 در بازار زیرزمینی فروخته شده است.

بد افزار RAT با نام کامل A Remote Access Trojan یک نوع بدافزار بسیار خطرناک است که دسترسی کامپیوترها و شبکه ها را در اختیار هکرها قرار می دهد.بد افزار RAT از طریق اسناد موجود در ایمیل یا به عنوان نرم افزار هایی مانند بازی های وارد سیستم می شوند. برخی از تبلیغات های موجود در وب سایت ها نیز به این بد افزار آلوده هستند اما بسیاری از سایت ها از ورود این وب سایت ها جلوگیری می کنند تا به کاربران سایت آسیبی نرسد.برخلاف برخی از ویروس ها نمی توان از ورود بد افزار RAT به سیستم اطلاع پیدا کرد. این بد افزار سرعت کامپیوتر را کاهش نمی دهد و به نوعی عمل می کنند که کاربر به سادگی از این موضوع مطلع نشود.

داده های دزدیده شده برای افزودن اعتبار به حملات آینده استفاده می شود

محققان شرکت امنیتی Qualys ، طعمه های فیشینگی را که اسناد اکسل را با اسناد مخرب درگیر می کرد، شناسایی کردند. اما به نظر می رسید حاوی اطلاعاتی درباره افراد واقعی است. با بررسی اطلاعات،متخصصان دریافتند داده ها از یک بانک تعاونی کلمبیایی گرفته شده است. پس از بررسی زیرساخت‌های وب عمومی بانک، گزارش‌هایی که نشان می‌داد ابزار SQL map برای انجام یک حمله تزریق SQL استفاده شده و همینطور فایل های تخلیه پایگاه داده ای را که مهاجمان ایجاد کرده بودند، پیدا شد.

به گفته محققان، در مجموع، 418777 ردیف داده حساس از مشتریان با جزئیاتی مانند شماره شناسه ملی ، آدرس ایمیل، شماره تلفن، نام مشتریان، سوابق پرداخت، حقوق، آدرس و غیره به بیرون درز کرده است.


گاهی اوقات گروه‌های مهاجم داده‌های سرقت شده را در دارک وب خریداری می‌کنند، اما از آنجایی که این داده‌ها در هیچ پیشنهاد عمومی و به طور قانونی ظاهر نمی‌شوند، به این معنی است که طی یک فروش به مشتری خاص و یا با حملات فیشینگ به دست عوامل مخرب می رسند.

حمله سایبری به بانک کلمبیا ، مثال واضحی از تهدیدی است که محققان مدت‌هاست درباره آن هشدار داده‌اند .به دنبال هرگونه نقض داده‌ ، چه داده‌های دزدیده شده ارزش و اعتبار آنی نداشته باشند و یا برعکس دادهها برای سودو دسترسی به منابع مالی افراد مورد سوء استفاده قرار گیرد. مهاجمان از چنین اطلاعاتی برای افزودن اعتبار به سایر حملات سایبری استفاده می کنند. بدین ترتیب مهاجمان در حملات بعدی توسط بانک داده خود که در حملات قبلی بدست آمده بسیار موفقتر خواهند بود.

مکانیزم دراپر

مکانیسم دراپر یا قطره چکان در فایل های اکسل نسبتاً پیچیده است. ابتدا یک اسکریپت ماکرو بسیار مبهم که در داخل فایل پنهان شده است اجرا می شود و یک فایل inf. صدها آرایه تولید می کند که با استفاده از عملیات حسابی بازسازی شده اند. سپس فایل .inf نهایی با استفاده از advpack.dll، کتابخانه ای که با خواندن و تأیید فایل های .INF به نصب سخت افزار و نرم افزار کمک می کند، اجرا می شود.

فایل INF. حاوی یک لودر مرحله دوم کدگذاری شده به شکل یک فایل DLL است که با استفاده از ابزار Windows certutil.exe رمزگشایی شده و با استفاده از rundll32 اجرا می شود. سپس این لودر از کتابخانه WinHTTP برای دانلود payload bit RAT از مخزن GitHub استفاده می کند. حساب GitHub در ماه نوامبر ایجاد شد و میزبان چندین باره از این قبیل بود.

این محموله‌ها خودشان از طریق Smart Assembly مبهم شدند و باینری bit RAT را که خود با Deepsea مبهم است بارگذاری می‌کنند. پس از فرآیند استقرار، تمام فایل‌های موقت ایجاد شده توسط استیدرهای مختلف حذف می‌شوند و payload و bit RAT باینری در پوشه راه‌اندازی کپی می‌شوند تا پایداری حاصل شود.

این فرآیند که شامل چندین لایه مبهم سازی، رمزگذاری، تکنیک های ضد اشکال زدایی، استفاده از ابزارهای مختلف سیستم برای اجرا، و بارگذاری بازتابی DLL است، نشان دهنده مهارت مهاجمان در ایجاد و تحویل بدافزار است.


BitRAT خود یک تروجان قدرتمند و غنی است که می تواند استخراج داده ها، keylogging، حملات DDoS، اجرای بار، ضبط وب کم و میکروفون، استخراج Monero، سرقت اعتبار و غیره را انجام دهد. با این حال، آن را با حداقل 20 دلار در انجمن های زیرزمینی می توان خریداری کرد. انتخاب یک تروجان خارج از رده به جای یک تروجان سفارشی توسط مهاجمان می تواند نتیجه هم راحتی و هم قصد دشوار کردن انتساب باشد. از آنجایی که این برنامه بدافزار بسیار ارزان است، احتمالاً توسط گروه های مختلف زیادی استفاده می شود.