بدافزار سارق اطلاعات PupkinStealer که با زبان #C و با استفاده از چارچوب NET. توسعه داده شده، برای طیف خاصی از دادههای حساس از جمله اعتبارنامههای ذخیره شده، اسناد شخصی و پیامهای کاربر و استخراج آن از طریق API ربات تلگرام طراحی شده است.
بر اساس گزارش CYFIRMA، فقدان مکانیسمهای پیچیده مبهمسازی یا پایداری در آن نشان میدهد که این بدافزار به منظور استقرار سریع و برداشت دادهها طراحی شده است، نه برای نفوذ طولانی مدت. PupkinStealer پس از آلودگی، چندین تسک پسزمینه از جمله جمعآوری دادههای ورود به سیستم از مرورگرهای وب محبوب، کپی کردن فایلهای انتخابی از دسکتاپ قربانی با پسوندهای انتخاب شده (.pdf، .txt، .sql، .jpg، .png)، سرقت اطلاعات نشست از پلتفرمهای پیامرسان مانند تلگرام و دیسکورد و گرفتن عکس از دسکتاپ را اجرا میکند. سپس تمام دادههای جمعآوریشده در یک آرشیو ZIP فشرده شده و از طریق API ربات تلگرام به یک سرور از راه دور منتقل میشوند که قابلیت ردیابی را به حداقل رسانده و مخفیکاری را افزایش میدهد. این بدافزار با به دست آوردن کلیدهای رمزگشایی ذخیره شده در فایلهای Local State مرورگرهای مبتنی بر کرومیوم (Chrome، Edge، Opera، Opera GX، Vivaldi)، اعتبارنامههای ورود ذخیرهشده را استخراج و رمزگشایی میکند.
PupkinStealer، پوشه tdata تلگرام را برای استخراج فایلهای نشست کپی میکند و امکان دسترسی بالقوه به حسابهای کاربری بدون اطلاعات ورود به سیستم را فراهم میکند. توکنهای احراز هویت با استفاده از عبارات با قاعده از حافظه leveldb دیسکورد استخراج میشوند و امکان دسترسی غیرمجاز به حساب را فراهم میکنند. این بدافزار صفحه را با وضوح ثابت ضبط میکند و تصاویر را قبل از استخراج به صورت محلی ذخیره میکند. تمام دادههای سرقتشده در یک آرشیو ZIP واحد با فرادادههای جاسازیشده (مانند نام کاربری، IP، SID) فشرده میشوند تا به نفوذگران در ردیابی قربانی کمک کنند. این آرشیو با استفاده از یک URL دستکاریشده که اطلاعات دقیق سیستم در کپشن آن قرار دارد، به یک ربات تلگرام تحت کنترل مهاجم ارسال میشود. بر اساس شواهد موجود، PupkinStealer به توسعهدهنده روسی با نام مستعار “Ardent“، منتسب است.
https://www.cyfirma.com/research/pupkinstealer-a-net-based-info-stealer/
