ظهور Venom Stealer در بازار زیرزمینی جرایم سایبری، تحول قابل توجهی در زمینه حملات ClickFix ایجاد کرده است. این پلتفرم که در قالب Malware-as-a-Service (MaaS) ارائه میشود، امکان خودکارسازی زنجیره کامل حمله، از مرحله مهندسی اجتماعی تا استخراج اطلاعات و سرقت دادهها را برای مهاجمان فراهم میکند. پژوهشگران امنیتی تاکید کردهاند که VenomStealer با ایجاد Pipeline پایدار سرقت داده، فرآیند استخراج اطلاعات را حتی پس از اجرای اولیه پیلود ادامه میدهد و آن را به یک تهدید نوظهور و خطرناک در اکوسیستم بدافزارهای سرقت اطلاعات (Infostealer) تبدیل کرده است.
ساختار فنی و قابلیتهای پیشرفته Venom Stealer
طبق گزارش BlackFog، توسعهدهندهای با نام مستعار VenomStealer، این پلتفرم را در انجمنهای جرایم سایبری منتشر کرده است. Venom Stealer به مهاجمان اجازه میدهد یک زنجیره چندمرحلهای از حمله ایجاد کنند که از آلودگی اولیه سیستم آغاز شده و به سرقت اعتبارنامهها، دسترسی به کیف پولهای رمزارزی و استخراج اطلاعات حساب ختم میشود. برخلاف بسیاری از Infostealerهای رایج مانند Lumma، Vidar و RedLine که تنها دادهها را جمعآوری کرده و متوقف میشوند، VenomStealer یک Pipeline پایدار استخراج داده ایجاد میکند که حتی پس از اجرای اولیه پیلود نیز فعال باقی میماند.
مدل کسبوکار Venom Stealer در بازار زیرزمینی
پلتفرم VenomStealer در بازارهای زیرزمینی با مدل اشتراکی ارائه میشود:
- اشتراک ماهانه: 250 دلار
- دسترسی دائمی: 1800 دلار
این سرویس شامل:
- فرآیند ثبتنام و احراز هویت مهاجمان
- سیستم لایسنس مبتنی بر تلگرام
- برنامه همکاری (Affiliate Program) با 15 درصد کمیسیون
پس از خرید اشتراک، مهاجمان میتوانند از طریق پنل وب (Web Panel)، پیلود باینری C++مخصوص خود را تولید کنند. این پیلود بهصورت اختصاصی برای هر اپراتور کامپایل شده و در حملات ClickFix مورد استفاده قرار میگیرد.
الگوریتمهای پیشرفته حمله و مهندسی اجتماعی ClickFix
در حملات VenomStealer، قربانی ابتدا به یک صفحه جعلی ClickFix هدایت میشود. این پلتفرم چندین تمپلیت آماده برای این صفحات ارائه میدهد که شامل موارد زیر است:
- CAPTCHA جعلی Cloudflare
- پیام آپدیت جعلی سیستمعامل
- خطای جعلی SSL
- درخواست نصب فونت
این صفحات کاربر را متقاعد میکنند که برای حل مشکل، یک دستور را در Run Dialog (پنجره اجرای دستور) ویندوز یا Terminal در macOS اجرا کند.
در این مرحله قربانی دستور نمایش دادهشده را Copy & Paste کرده و اجرا میکند. از آنجا که اجرای دستور توسط خود کاربر انجام میشود، بسیاری از مکانیزمهای تشخیص امنیتی که بر اساسparent-child عمل میکنند، قادر به شناسایی حمله نیستند.
پیلودها و روشهای آلودگی سیستم
نسخه ویندوزی VenomStealer انواع پیلودهای زیر را ارائه میدهد:
- فایل .exeو فایل .psi
- اجرای بدون فایل (Fileless Execution) از طریق PowerShell
- فایل .hta
- اسکریپت .bat
در macOS نیز از bash و curl برای اجرای پیلود استفاده میشود.
همچنین این پلتفرم امکان استفاده از دامنههای سفارشی با Cloudflare DNS را فراهم میکند تا آدرس واقعی پنل مدیریت در دستورات مخفی بماند.
سرقت اطلاعات مرورگر و کیف پولهای رمزارزی
پس از اجرای پیلود، Venom Stealerتمام مرورگرهای مبتنی بر Chromium و Firefox را اسکن کرده و اطلاعات زیر را استخراج میکند:
- پسوردهای ذخیرهشده
- کوکیهای نشست
- تاریخچه مرورگر
- دادههای تکمیل خودکار (Autofill)
- اطلاعات کیف پولهای رمزارزی
علاوه بر این، این ابزار اطلاعات اثر انگشت سیستم (System Fingerprint) و لیست افزونههای مرورگر را نیز جمعآوری میکند تا مهاجمان پروفایل کاملی از قربانی داشته باشند.
قابلیتهای فرار از شناسایی
یکی از قابلیتهای پیشرفته Venom Stealer، استفاده از افزایش سطح دسترسی (Privilege Escalation) مخفی برای دور زدن مکانیزم رمزنگاری پسورد در Chrome نسخههای 10 و 20 است.
در این روش:
- کلید رمزگشایی استخراج میشود.
- هیچ پنجره UAC نمایش داده نمیشود.
- هیچ ردپای فارنزیکی (Forensic Artifacts) روی سیستم باقی نمیماند.
این قابلیتها باعث میشود تشخیص فعالیت VenomStealerبرای تیمهای امنیتی دشوارتر شود.
Pipeline پایدار استخراج داده
یکی از مهمترین ویژگیهای Venom Stealer ایجاد یک Pipelineپایدار سرقت داده است. اطلاعات مربوط به کیف پولهای رمزارزی به یک سرور مجهز به GPU منتقل میشود تا عملیات کرک کیف پول رمزارزی (Wallet Cracking) انجام شود. این سیستم از کیف پولهای زیر پشتیبانی میکند:
- MetaMask
- Phantom
- Solflare
- Trust Wallet
- Atomic
- Exodus
- Electrum
- Bitcoin Core
- Monero
- Tonkeeper
در بهروزرسانی 9 مارس، قابلیت یافتن پسورد فایل و عبارت بازیابی (File Password & Seed Phrase Finder) اضافه شد که میتواند Seed Phraseهای ذخیرهشده را شناسایی و به سیستم کرک منتقل کند.
چرا Venom Stealer تهدیدی جدی محسوب میشود؟
برخلاف بسیاری از ابزارهای infostealer، فعالیت Venom Stealer پس از آلودگی اولیه متوقف نمیشود. این بدافزار بهطور مداوم فایل Chrome Login Data را مانیتور میکند و هر اطلاعات جدیدی که ذخیره شود را در لحظه استخراج میکند.
این ویژگی باعث میشود حتی اگر قربانی پسوردهای خود را تغییر دهد، مهاجمان همچنان قادر به سرقت اطلاعات جدید باشند.
کاهش ریسک حملات ClickFix
برای کاهش ریسک حملات مبتنی بر VenomStealer و ClickFix، سازمانها باید اقدامات زیر را در دستور کار قرار دهند:
- محدود کردن اجرای PowerShell
- غیرفعال کردن Run Dialog برای کاربران عادی از طریق سیاستهای گروهی (Group Policy)
- آموزش کارکنان برای شناسایی تکنیکهای مهندسی اجتماعی ClickFix
- مانیتورینگ ترافیک خروجی شبکه (Outbound Traffic)
از آنجا که در حملات VenomStealer دادهها تقریباً بلافاصله از سیستم قربانی خارج میشوند، مانیتورینگ ترافیک خروجی شبکه یکی از مهمترین روشها برای شناسایی و جلوگیری از استخراج اطلاعات محسوب میشود.
جمعبندی
ظهور Venom Stealer نشان میدهد که حملات ClickFix در حال تبدیل شدن به یک تهدید جدی در فضای امنیت سایبری هستند. ترکیب MaaS، مهندسی اجتماعی و سرقت اطلاعات این ابزار را به یک پلتفرم قدرتمند برای مهاجمان تبدیل کرده که میتواند بدون شناسایی، برای مدت طولانی در سیستم قربانی فعال باقی بماند.
