PupkinStealer: تحلیل فنی یک بدافزار اطلاعاتدزد مبتنی بر تلگرام
مقدمه
با گسترش زیرساختهای دیجیتال و افزایش وابستگی کاربران و سازمانها به فناوریهای آنلاین، بدافزارها به یکی از اصلیترین تهدیدهای امنیت سایبری بدل شدهاند. در این میان، برخی از بدافزارها به دلیل استفاده خلاقانه از سرویسهای قانونی برای پنهانکاری، خطرناکتر از سایرین هستند. یکی از جدیدترین نمونهها، PupkinStealer است؛ یک بدافزار اطلاعاتدزد که از پیامرسان تلگرام به عنوان کانال فرمان و کنترل (C2) و انتقال داده استفاده میکند.
در این مقاله، به تحلیل جامع این بدافزار از منظر فنی، عملکرد، تهدیدات ناشی از آن و راهکارهای مقابله خواهیم پرداخت.
مشخصات کلی PupkinStealer
| ویژگی | توضیحات |
|---|---|
| نوع بدافزار | اطلاعاتدزد (Infostealer) |
| زبان توسعه | احتمالاً Python یا C# |
| روش توزیع | فایلهای آلوده، کرکها، اسپم ایمیلی |
| پروتکل C2 | Telegram Bot API |
| هدف | سرقت اطلاعات مرورگر، کیف پول دیجیتال، Session |
مراحل اجرای PupkinStealer
1. نفوذ اولیه
PupkinStealer معمولاً از طریق یکی از روشهای زیر وارد سیستم قربانی میشود:
- دریافت فایلهای آلوده از طریق ایمیلهای فیشینگ
- اجرای فایلهای اجرایی مخفیشده در بستههای نرمافزاری کرکشده
- دانلودهای مخرب از سایتهای نامعتبر
2. استقرار در سیستم
پس از اجرا، بدافزار با استفاده از تکنیکهای ضدتحلیل، مانند obfuscation (پنهانسازی کد) یا packing، تلاش میکند شناسایی نشود. همچنین ممکن است در مسیرهایی مانند %AppData% یا %Temp% فایل اجرایی خود را کپی کرده و در استارتآپ ویندوز قرار دهد.
3. جمعآوری اطلاعات
PupkinStealer طیف وسیعی از اطلاعات را جمعآوری میکند، از جمله:
- رمزهای ذخیرهشده در مرورگرها (Chrome، Firefox، Edge)
- اطلاعات فرمها (AutoFill)
- کوکیها و Sessionها
- فایلهای متنی حساس مانند پسوردها و شماره حسابها
- کیف پولهای ارز دیجیتال مانند MetaMask، Exodus، Atomic Wallet
4. ارتباط با بات تلگرام
PupkinStealer از Bot API تلگرام برای برقراری ارتباط با مهاجم استفاده میکند. این ارتباط شامل مراحل زیر است:
- استخراج Token ربات و ID مقصد از فایل پیکربندی داخلی
- فشردهسازی اطلاعات جمعآوریشده (معمولاً با zip یا rar)
- ارسال فایل به تلگرام با استفاده از متد
sendDocument
5. پاکسازی یا ماندگاری
در برخی نسخهها، بدافزار پس از ارسال اطلاعات، فایل اجرایی خود را حذف میکند تا ردی از خود بر جای نگذارد. در نسخههای دیگر، با ایجاد کلید در رجیستری یا برنامه زمانبندی به صورت پایدار در سیستم باقی میماند.
مزایای استفاده از تلگرام برای مهاجمان
- پنهانکاری بالا: ترافیک رمزنگاریشده و غیرقابل ردیابی توسط IDS/IPS
- عدم نیاز به سرور خارجی: حذف نیاز به دامنه یا هاست اختصاصی
- سرعت و پایداری: API تلگرام سریع و قابل اتکاست
- رایگان بودن: استفاده بدون هزینه برای مهاجم
تهدیدات ناشی از PupkinStealer
| تهدید | توضیحات |
|---|---|
| نقض حریم خصوصی | افشای اطلاعات شخصی و هویتی کاربران |
| سرقت مالی | دسترسی به حسابهای بانکی، کیف پولهای ارز دیجیتال |
| امکان گسترش به شبکه داخلی | در صورت آلودگی یک سیستم سازمانی، امکان حرکت جانبی وجود دارد |
| دور زدن سیستمهای امنیتی | به دلیل استفاده از سرویسهای مشروع مانند تلگرام |
شناسایی و مقابله با PupkinStealer
۱. تحلیل ترافیک شبکه
بررسی درخواستهای مکرر به api.telegram.org از کلاینتهای غیرعادی با ابزارهایی مانند Wireshark یا Suricata توصیه میشود.
۲. محدودسازی دسترسی به تلگرام
با فیلتر دامنههای مرتبط با تلگرام در فایروال یا استفاده از DNS Filtering میتوان مسیر ارتباط بدافزار را مسدود کرد.
۳. بهرهگیری از EDR و آنتیویروسهای پیشرفته
شناسایی رفتارهای مشکوک مانند استخراج اطلاعات مرورگر، یا تلاش برای ارسال فایل از طریق API بسیار مهم است.
۴. آموزش کاربران
افزایش آگاهی درباره ایمیلهای فیشینگ، دانلود نرمافزارهای کرکشده، و استفاده از احراز هویت چندعاملی ضروری است.
نتیجهگیری
بدافزار PupkinStealer نشاندهنده روند رو به رشد پیچیدگی بدافزارهای اطلاعاتدزد است. استفاده از پیامرسان تلگرام به عنوان کانال مخفی برای ارسال دادهها، این بدافزار را به تهدیدی جدی برای کاربران خانگی و سازمانی تبدیل کرده است. مقابله مؤثر با آن نیازمند ترکیبی از ابزارهای فنی، سیاستهای محدودسازی و آموزش مستمر کاربران است.
پیشنهاد نهایی
برای مدیران شبکه و کارشناسان امنیت اطلاعات، مانیتورینگ مستمر ترافیک و تحلیل رفتار نرمافزارها یک ضرورت است. همچنین توصیه میشود ثبت و تحلیل لاگها از طریق سامانههایی مانند ELK Stack یا Graylog برای شناسایی بدافزارهایی با الگوی مشابه در اولویت قرار گیرد.