به گزارش گرداب، تحلیلگران امنیتی بخش تالوس شرکت سیسکو (Cisco Talos) به تازگی تروجان جدیدی را شناسایی کرده‌اند که اهداف خود را از آسیای غربی انتخاب می‌کند. این کار با بررسی عبارت تایپ شده با صفحه‌کلید و تلاش به منظور جلوگیری از شناسایی شدن توسط بسترهای ابری انجام می‌گیرد.

بدافزار یاد شده از نوع تروجان دسترسی از راه دور (RAT) بوده و «JhoneRAT» نام دارد. این بدافزار به واسطه اسناد آفیس مایکروسافت که دارای مایکرو مخرب هستند منتشر می‌شوند.

تروجان JhoneRAT به واسطه کمپین فیشینگ حملات خود را آغاز می‌کند. در این کمپین 3 نوع سند برای مخاطبان ارسال می‌گردد. اولین سند شناسایی شده، «Urgent.Docx» نام شده و از قربانیان درخواست می‌کند که ویرایش انگلیسی و عربی را فعال کنند. سند دوم، «fb.docx» نام داشته و ادعا می‌کند حاوی داده‌های فاش شده فیس‌بوک است. سومین سند نیز وانمود می‌کند که از سوی دولت امارات متحده عربی ارسال شده است. در هر یک از این موارد اگر قابلیت ویرایش فعال باشد، یک سند آفیس دیگر به صورت خودکار اجرا می‌شود که حاوی مایکرو مخرب است.

کارشناسان تالوس توضیح دادند، اسناد یاد شده به منظور شناسایی نشدن در گوگل درایو میزبانی می‌شوند. بدافزار JhoneRAT، به زبان پایتون نوشته شده و توسط گوگل درایو منتشر می‌شود که میزبانی عکس‌هایی با رمزنگاری 64 بیتی در انتهای خود است. به محض باز شدن این تصاویر، تروجان روی سیستم قربانی نصب شده و اطلاعات دستگاه را مانند نوع، شماره سریال حافظه ذخیره‌سازی، سیستم‌عامل مورد استفاده و بسیاری موارد دیگر را استخراج و ارسال می‌کند.

زمان برقراری ارتباط و انتقال اطلاعات به سرور فرماندهی و کنترل (C2)، فرمان‌ها هر 10 ثانیه، توسط یک فید عمومی توییتر مورد بررسی قرار می‌گیرند. این حساب کاربری «jhone87438316» نام داشت که هم‌اکنون مسدود شده است.

محققان شرح دادند:

" دستورات مورد استفاده می‌توانند بر اساس شناسه منحصر به فرد هر هدف مانند شماره سریال حافظه، آنتی‌ویروس یا سیستم‌عامل، مخصوص به همان قربانی تولید شوند. "

تحلیلگران شرح دادند، سرقت اصلی داده‌ها در بسترهای ارائه‌دهنده خدمات ابری «ImgBB»، «گوگل درایو» و گوگل فرمز انجام می‌گیرد. اسکرین‌شات‌ها روی ImgBB بارگذاری می‌شوند، داده‌های باینری از طریق گوگل درایو دانلود می‌شوند و دستورها با ارسال خروجی به گوگل فرمز اجرا می‌گردند.

بدافزار مذکور اهداف خود را با توجه به نحوه کار با صفحه‌کلید انتخاب می‌کند و تنها به کسانی حمله می‌کند که در کشورهای عربی زبان هستند. این بدافزار تاکنون به عربستان سعودی، عراق، مصر، لیبی، الجزایر، مراکش، تونس، عمان، سوریه، امارات متحده عربی، کویت، بحرین و لبنان حمله کرده است.

کمپین مورد بحث فعالیت خود را از نوامبر 2019 آغاز کرده و همچنان ادامه دارد. در حال حاضر حساب کاربری توییتر مورد استفاده مسدود می‌شود؛ اما هکرها به سادگی می‌توانند به منظور ادامه کار خود، یک حساب جدید ایجاد کنند.

پژوهشگران همچنین بدافزار دیگری را به نام «فیک توکن» (FakeToken) را مورد بررسی قرار داده‌اند. این بدافزار برنامه ارسال پیامک تلفن‌های هوشمند را تحت کنترل خود در آورده و متن‌های تهدیدآمیز ارسال می‌کند.

محققان تالوس هنوز هیچ گروهی را به عنوان مسئول حملات یاد شده اعلام نکرده‌اند.