بات نت جدید Golang کیف پول های ارز دیجیتال کاربران ویندوز را خالی می کند

بات نت جدید Golang کیف پول های ارز دیجیتال کاربران ویندوز را خالی می کند

یک بات نت جدید مبتنی بر Golang، هر بار که اپراتور یک سرور فرمان و کنترل جدید (C2) را مستقر می کنند، صدها دستگاه ویندوز را به دام می اندازد. این بات نت ناشناخته، اولین بار در اکتبر 2021 توسط محققان ZeroFox پیدا و Kraken نامیده شد. این بات نت ازbackdoor برنامه SmokeLoader و یک دانلود کننده بدافزار برای گسترش به سیستم های ویندوزی استفاده می کند.

 

یک بات نت جدید مبتنی بر Golang، هر بار که اپراتور یک سرور فرمان و کنترل جدید (C2) را مستقر می کنند، صدها دستگاه ویندوز را به دام می اندازد. این بات نت ناشناخته، اولین بار در اکتبر 2021 توسط محققان ZeroFox پیدا و Kraken نامیده شد. این بات نت از backdoor برنامه SmokeLoader و یک دانلود کننده بدافزار برای گسترش به سیستم های ویندوزی استفاده می کند.

پس از آلوده کردن یک دستگاه ویندوز، بات نت یک کلید رجیستری جدید به ویندوزاضافه می کند تا در صورت restart شدن سیستم از بتواند به فعالیت خود ادامه بدهد. همچنین در Microsoft Defender یک exclusion اضافه میکند تا مطمئن شود که دایرکتوری نصب آن هرگز اسکن نمی شود و همچنین باینری خود را در Window Explorer با استفاده از hidden attribute پنهان می کند. Kraken دارای یک مجموعه ویژگی محدود و ساده است که به مهاجمان اجازه می دهد تا فایل های مخرب اضافی، از جمله بدافزار RedLine Stealer، را در دستگاه های در معرض خطردانلود و اجرا کنند. RedLine در حال حاضر مورد استفاده ترین بد افزاری است که برای دزدن اطلاعات از آن استفاده میشود. این بد افزار که قادر به جمع‌آوری رمز عبور قربانیان، کوکی‌های مرورگر، اطلاعات کارت های اعتباری و اطلاعات کیف پول ارزهای دیجیتال است.

ZeroFox گفت: «commandهای نظارتی ارسال شده به قربانیان Kraken از اکتبر 2021 تا دسامبر 2021 نشان داد که اپراتور کاملاً روی دزدیدن اطلاعات، به‌ویژه از طریق RedLine Stealer» تمرکز کرده است. "در حال حاضر مشخص نیست که اپراتور قصد دارد با اطلاعات سرقت شده چه کند یا هدف نهایی از ایجاد این بات نت جدید چیست."

قابلیت سرقت کیف پول های رمز ارز

این بات‌نت همچنین دارای قابلیت‌های سرقت اطلاعات به صورت Built-in است که می‌تواند کیف پول‌های رمزارز را قبل از نصب سایر بدافزارهای سرقت اطلاعات و استخراج‌کنندگان ارزهای دیجیتال به سرقت ببرد. طبق گفته ZeroFox، Kraken می‌تواند اطلاعات کیف پول‌های رمزارز Zcash، Armory، Bytecoin، Electrum، Ethereum، Exodus، Guarda، Atomic و Jaxx Liberty را به سرقت ببرد. بر اساس اطلاعات جمع‌آوری‌شده از استخر استخراج ارزهای دیجیتال Ethermine، به نظر می‌رسد این بات‌نت هر ماه تقریباً 3000 دلار به کیف پول‌های صاحبانش اضافه می‌کند.

محققان افزودند: " به نظر می‌رسد Kraken C2s اغلب ناپدید می‌شوند. ZeroFox فعالیت‌های رو به کاهشی را برای یک سرور در موارد متعدد مشاهده کرده است، اما در همین زمان یک سرور دیگر با استفاده از یک پورت و یا یک IP کاملا جدید ظاهر می‌شود." با این وجود، بات نت Kraken "با استفاده از SmokeLoader ، هر بار که اپراتور C2 را تغییر میدهد، صدها ربات جدید به به دست می آورد.

منبع: www.bleepingcomputer.com