محققان امنیت سایبری یک تروجان دسترسی از راه دور جدید و سارق اطلاعات را مشاهده کرده اند که توسط عوامل ایرانی برای شناسایی نقاط پایانی در معرض خطر و اجرای دستورات مخرب استفاده می شود.
شرکت امنیت سایبری Check Point بدافزار WezRat را نامید و اعلام کرد که حداقل از اول سپتامبر 2023 بر اساس ابزارهای آپلود شده در پلتفرم VirusTotal شناسایی شده است بر اساس گزارش فنی: «WezRat دارای قابلیتهای اجرای دستور، گرفتن اسکرینشات، آپلود فایل و کیلاگینگ و سرقت محتوای کلیپبورد و فایلهای کوکی میباشد». برخی از عملکردها توسط ماژولهای جداگانه بازیابی شده از سرور فرمان و کنترل (C&C) در قالب فایلهای DLL انجام میشود تا مولفه اصلی دربپشتی کمتر مشکوک به نظر برسد.
WezRat کار گروه هکری ایرانی Cotton Sandstorm است که بیشتر با نامهای Emennet Pasargad و اخیراً آریاسپهر آیندهسازان (ASA) شناخته میشود. زنجیرههای حمله، شامل استفاده از نصبکنندههای گوگل کروم تروجانیزه شده (“Google Chrome Installer.msi”) است که علاوه بر نصب مرورگر وب قانونی کروم، برای اجرای باینری دوم به نام “Updater.exe” (یا “bd.exe”) پیکربندی شده است.
https://research.checkpoint.com/2024/wezrat-malware-deep-dive/
