به گزارش گرداب، کارشناسان امنیتی به تازگی یک جاسوس‌افزار تبلیغاتی را به نام ماساد (Masad Clipper and Stealer) شناسایی کرده‌اند. ماساد از بات‌های تلگرام به عنوان هاب فرماندهی و کنترل (C2) بهره می‌گیرد. این بدافزار می‌تواند اطلاعات کاربران ویندوزی و اندرویدی را جمع‌آوری کند. همچنین مجموعه‌ای از قابلیت‌های مخرب مانند سرقت ارز دیجیتالی را از کیف پول قربانیان دارد.

با توجه به گزارش آزمایشگاه تهدید ژونیپر (Juniper Threat Labs)، معتقدند ماساد بر پایه بدافزاری به نام «Qulab Stealer» نوشته شده است. یکی از موردتوجه‌ترین ویژگی‌های ماساد این است که داده‌های جمع‌آوری شده از قربانیان را به یک روبات تلگرامی ارسال کرده و از آن به عنوان سرور فرماندهی و کنترل بهره می‌گیرد.

ماساد به منظور ارتباط با بات فرماندهی و کنترل ابتدا یک پیام «getMe» ارسال می‌کند. این پیام برای تأیید فعال بودن بات، از توکن هاردکد آن بهره می‌گیرد. سپس پس از جمع‌آوری داده‌ها و فشرده‌سازی آن‌ها در فولدر ZIP، محتوا را با به کارگیری رابط برنامه‌نویسی کاربردی سند داکیومنت (sendDocument API) ارسال می‌کند.

تحلیلگران ژونیپر گفتند:

 پس از دریافت پیام یاد شده، روبات با استفاده از نام کاربری خود پاسخ می‌دهد. این نام کاربری، به منظور شناسایی بازیگران مخرب احتمالی که با بدافزار مرتبط هستند مفید واقع می‌شود. این مسئله دلیل مهمی برای پنهان ماندن ماهیت بدافزار است؛ زیرا گروه‌ها مختلف از ماساد برای اهداف متفاوتی بهره می‌گیرند. 

در حقیقت بیش از 1000 نمونه فعال شناسایی شده‌اند که نشان می‌دهد 338 بات فرماندهی و کنترل منحصربه‌فرد برای ماساد وجود دارد.

محققان ذکر کردند:

 از داده‌های مذکور می‌توان تعداد مهاجمان را تخمین زد یا حداقل تعداد کمپین‌هایی را که از ماساد بهره می‌گیرند شناسایی کرد. 

اطلاعات به سرقت رفته می‌تواند شامل داده‌های مرورگر مانند نام‌های کاربری و رمزهای عبور وبگاه‌ها، اطلاعات تماس و کارت‌های اعتباری باشد. همچنین می‌تواند به اطلاعات رایانه‌ها، فهرست نرم‌افزارهای نصب شده یا در حال پردازش، فایل‌های دسکتاپ، اسکرین‌شات‌ها، کوکی مرورگرها، فایل‌های بستر بازی استیم و فایل زیلا و پیام‌های دیسکورد و تلگرام باشد.

ماساد همچنین می‌تواند به صورت خودکار کیف‌های پول ارز دیجیتالی موجود در کلیپبورد را با نمونه‌ی خود جایگزین کند. از جمله این ارزهای دیجیتالی می‌توان به اتریم، داگی کوین، بیت‌کوین، نئو، مونرو، لایتکوین و چندین نمونه دیگر اشاره کرد.

به علاوه امکان دانلود و نصب دیگر بدافزارها را نیز فراهم می‌کند.

تحقیقات ژونیپر نشان داد که ماساد، خود را به عنوان یک ابزار مشروع یا شخص ثالث معرفی می‌کند. ماساد از نرم‌افزارهای «ProxySwitcher»، «CCleaner»، «Utilman»، «Netsh»، «Whoami» و همچنین از بدافزار مخرب دیگری به نام «Proxo Bootstrapper» تقلید می‌کند.

به علاوه خود را به عنوان ماساد خود را به عنوان یک هک برای بازی فورتنایت (Fortnite) نیز معروفی می‌کند. این فایل «Fortniteaimbot 2019.exe» نام دارد. همچنین این بدافزار در غالب مجموعه بروزرسانی‌های نرم‌افزاری تلفن های گالکسی سامسونگ نیز دیده شده است.

هکرها از طریق انجام تبلیغات در تالارهای گفتگو، وبگاه‌های دانلود شخص ثالث یا اشتراک‌گذاری فایل کاربران نهایی را تشویق به دانلود بدافزار می‌کنند. این بدافزار از در بازه قیمتی رایگان تا 85 دلار به مصرف‌کننده فروخته می‌شود و هر کدام آن‌ها از توانایی‌های مختلفی برخوردار هستند.