محققان امنیت سایبری اطلاعات جدیدی درباره یک سارق اطلاعات ناشناخته به نام Myth Stealer منتشر کرده‌اند که با استفاده از زبان برنامه‌نویسی Rust نوشته شده و از طریق وب‌سایت‌های جعلی بازی منتشر می‌شود.

محققان امنیتی شرکت Trellix توضیح می‌دهند که این بدافزار پس از اجرا، یک پنجره جعلی نمایش می‌دهد تا مشروع به نظر برسد، در حالی که همزمان در پس‌زمینه کدهای مخرب را رمزگشایی و اجرا می‌کند.

این سارق اطلاعات که ابتدا در اواخر دسامبر ۲۰۲۴ به صورت رایگان و نسخه آزمایشی در تلگرام عرضه شد، اکنون به مدل بدافزار به عنوان سرویس (MaaS) تبدیل شده است. این بدافزار قادر است رمزهای عبور، کوکی‌ها و اطلاعات تکمیل خودکار را از مرورگرهای مبتنی بر Chromium و Gecko مانند گوگل کروم، مایکروسافت اج، بریو، اپرا، ویوالدی و موزیلا فایرفاکس سرقت کند.

عاملان این بدافزار چندین کانال تلگرامی برای تبلیغ فروش حساب‌های به سرقت رفته و ارائه نظرات مشتریان راه‌اندازی کرده بودند که توسط تلگرام مسدود شدند.

شواهد نشان می‌دهد Myth Stealer از طریق وب‌سایت‌های جعلی، از جمله یکی که در سرویس Blogger گوگل میزبانی می‌شود، توزیع می‌شود. این سایت‌ها بازی‌های ویدیویی مختلف را به بهانه تست کردن ارائه می‌دهند.

شرکت Trellix همچنین کشف کرد که این بدافزار به عنوان نسخه کرک شده نرم‌افزار تقلب در بازی DDrace در یک انجمن آنلاین توزیع می‌شود.

صرف نظر از روش دسترسی اولیه، لودر دانلود شده یک پنجره نصب جعلی به کاربر نمایش می‌دهد تا او را فریب دهد که یک برنامه مشروع در حال اجراست. در پس‌زمینه، لودر بخش سارق اطلاعات را رمزگشایی و اجرا می‌کند.

در یک فایل DLL ۶۴ بیتی، سارق اطلاعات سعی می‌کند فرآیندهای در حال اجرای مرتبط با مرورگرهای وب مختلف را خاتمه دهد، سپس داده‌ها را سرقت و به یک سرور راه دور یا در برخی موارد به یک وب‌هوک دیسکورد ارسال کند.

محققان می‌گویند: “این بدافزار همچنین حاوی تکنیک‌های ضد تحلیل مانند مبهم‌سازی رشته‌ها و بررسی سیستم با استفاده از نام فایل‌ها و نام‌های کاربری است. نویسندگان بدافزار به طور منظم کد سارق را به‌روزرسانی می‌کنند تا از تشخیص آنتی‌ویروس فرار کنند و قابلیت‌های اضافی مانند ضبط صفحه نمایش و ربودن کلیپ‌بورد را اضافه کنند.”

Myth Stealer تنها بدافزاری نیست که از طعمه‌های تقلب در بازی برای توزیع استفاده می‌کند. هفته گذشته، واحد ۴۲ شرکت Palo Alto Networks اطلاعاتی درباره بدافزار ویندوز دیگری به نام Blitz منتشر کرد که از طریق تقلب‌های بازی دارای درب پشتی و نصب‌کننده‌های کرک شده برنامه‌های مشروع منتشر می‌شود.

Blitz که عمدتاً از طریق یک کانال تلگرام تحت کنترل مهاجم منتشر می‌شود، از دو مرحله تشکیل شده است: یک دانلودر که مسئول بارگذاری بات است و برای ثبت ضربات کلید، گرفتن اسکرین‌شات، دانلود/آپلود فایل‌ها و تزریق کد طراحی شده است. همچنین دارای عملکرد حمله منع سرویس (DoS) علیه سرورهای وب است و یک ماینر XMRig را نصب می‌کند.

تقلب دارای درب پشتی، بررسی‌های ضد سندباکس را قبل از بازیابی مرحله بعدی بدافزار انجام می‌دهد و دانلودر تنها زمانی اجرا می‌شود که قربانی پس از خروج یا راه‌اندازی مجدد، دوباره وارد سیستم شود.

نکته قابل توجه در زنجیره حمله این است که بات Blitz و بارهای ماینر رمزارز XMR، همراه با اجزای زیرساخت فرماندهی و کنترل آن، در فضای Hugging Face میزبانی می‌شوند. Hugging Face پس از افشای مسئولانه، حساب کاربری را قفل کرده است.

تا اواخر آوریل ۲۰۲۵، تخمین زده می‌شود که Blitz حدود ۲۸۹ آلودگی در ۲۶ کشور داشته باشد که روسیه، اوکراین، بلاروس و قزاقستان در صدر قرار دارند.

ماه گذشته، عامل تهدید پشت Blitz در کانال تلگرام خود ادعا کرد که پس از کشف اینکه تقلب دارای تروجان تعبیه شده است، فعالیت خود را متوقف می‌کند. آنها همچنین ابزاری برای حذف بدافزار از سیستم‌های قربانیان ارائه دادند.

واحد ۴۲ می‌گوید: “فردی که پشت بدافزار Blitz است احتمالاً روسی‌زبان است و از نام مستعار sw1zzx در پلتفرم‌های رسانه‌های اجتماعی استفاده می‌کند. این اپراتور بدافزار احتمالاً توسعه‌دهنده Blitz است.”

این تحولات در حالی رخ می‌دهد که شرکت CYFIRMA جزئیاتی درباره یک تروجان دسترسی از راه دور (RAT) جدید مبتنی بر C# به نام DuplexSpy RAT منتشر کرد که دارای قابلیت‌های گسترده برای نظارت، ماندگاری و کنترل سیستم است. این بدافزار در آوریل ۲۰۲۵ در GitHub منتشر شد و ادعا می‌کند که تنها برای “اهداف آموزشی و اخلاقی” است.

شرکت می‌گوید: “این بدافزار از طریق تکرار پوشه استارت‌آپ و تغییرات رجیستری ویندوز ماندگاری ایجاد می‌کند و از تکنیک‌های اجرای بدون فایل و افزایش سطح دسترسی برای مخفی‌کاری استفاده می‌کند. ویژگی‌های کلیدی شامل کی‌لاگر، ضبط صفحه نمایش، جاسوسی وبکم/صدا، شل از راه دور و توابع ضد تحلیل است.”

علاوه بر قابلیت پخش صدا یا صداهای سیستم از راه دور در دستگاه قربانی، DuplexSpy RAT دارای ماژول کنترل برق است که به مهاجم امکان اجرای دستورات سطح سیستم از راه دور مانند خاموش کردن، راه‌اندازی مجدد، خروج و حالت خواب را می‌دهد.

CYFIRMA اضافه می‌کند: “بدافزار یک صفحه قفل جعلی را با نمایش تصویری که مهاجم ارائه می‌دهد (کدگذاری شده با Base64) در حالت تمام صفحه اعمال می‌کند و در عین حال تعامل کاربر را غیرفعال می‌کند. از بسته شدن جلوگیری می‌کند مگر اینکه صراحتاً اجازه داده شود و یخ زدن سیستم یا اعلان باج‌افزار را شبیه‌سازی می‌کند تا قربانی را دستکاری یا اخاذی کند.”

این یافته‌ها همچنین پس از گزارشی از Positive Technologies منتشر شد که نشان می‌دهد چندین عامل تهدید از جمله TA558، Blind Eagle، Aggah، PhaseShifters، UAC-0050 و PhantomControl از یک سرویس رمزگذار به نام Crypters And Tools برای مبهم‌سازی فایل‌هایی مانند Ande Loader استفاده می‌کنند.

زنجیره‌های حمله با استفاده از Crypters And Tools ایالات متحده، اروپای شرقی (از جمله روسیه) و آمریکای لاتین را هدف قرار داده‌اند. یکی از پلتفرم‌هایی که این رمزگذار در آن فروخته می‌شود nitrosoftwares.com است که ابزارهای مختلفی از جمله اکسپلویت‌ها، رمزگذارها، لاگرها و کلیپرهای رمزارز را ارائه می‌دهد.