بدافزار جدید با ظاهری ساده اما خطرناک

یک بدافزار جدید مبتنی بر .NET به نام Chihuahua Infostealer به‌عنوان تهدیدی جدی برای امنیت سایبری شناسایی شده است. این بدافزار که در آوریل ۲۰۲۵ توسط کاربری در Reddit کشف شد، از اسناد Google Drive برای انتشار اسکریپت‌های مخرب PowerShell استفاده می‌کند. Chihuahua با سرقت اطلاعات مرورگر (مانند رمزهای عبور، کوکی‌ها و تاریخچه) و داده‌های کیف‌پول‌های رمزارز، کاربران و سازمان‌ها را در معرض خطر قرار می‌دهد.

جزئیات تهدید Chihuahua چیست؟

• نوع تهدید: سرقت اطلاعات (Infostealer)

• هدف: اطلاعات ورود مرورگر (مانند نام کاربری، رمز عبور، کوکی‌ها، اطلاعات اتوفیل)، تاریخچه مرور و داده‌های کیف‌پول رمزارز (مانند EVER Wallet، Rabby، Clover Wallet).

• شدت خطر: بالا (به دلیل اجرای مخفیانه و رمزنگاری قوی).

• تأثیر: امکان سرقت هویت، تخلیه کیف‌پول‌های رمزارز و دسترسی غیرمجاز به حساب‌های آنلاین.

• روش انتشار: اسکریپت‌های PowerShell مبهم‌شده در اسناد Google Drive، که از طریق مهندسی اجتماعی کاربران را فریب می‌دهند.

چگونه Chihuahua عمل می‌کند؟

Chihuahua از یک زنجیره حمله چندمرحله‌ای استفاده می‌کند:

1. ورود اولیه: کاربر با فریب مهندسی اجتماعی (مانند سند جعلی Google Drive) اسکریپت PowerShell مبهم‌شده را اجرا می‌کند.

2. ایجاد پایداری: بدافزار با ایجاد وظیفه زمان‌بندی‌شده ویندوز (مانند “f90g30g82” که هر دقیقه اجرا می‌شود) پایداری خود را حفظ می‌کند.

3. بارگذاری payload: اسکریپت از دامنه‌های C2 (مانند cdn.findfakesnake[.]xyz) یا OneDrive فایل‌های اضافی را بارگیری کرده و در حافظه اجرا می‌کند.

4. سرقت داده‌ها: تابع PopilLina() اطلاعات سیستم (مانند نام دستگاه و شماره سریال دیسک) و داده‌های حساس را جمع‌آوری کرده و در فایل متنی Brutan.txt ذخیره می‌کند.

5. رمزنگاری و ارسال: داده‌ها در قالب آرشیو “.chihuahua” فشرده شده، با AES-GCM رمزنگاری شده و از طریق HTTPS به سرورهایی مانند hxxps://flowers[.]hold-me-finger[.]xyz ارسال می‌شوند.

6. پاک‌سازی: بدافزار با حذف فایل‌های موقت، پاک کردن کلیپ‌بورد و حافظه کش DNS، ردپای خود را پاک می‌کند.
   نکته جالب: بدافزار در تابع DedMaxim() اشعار رپ روسی را با وقفه‌های کوتاه در کنسول نمایش می‌دهد، که به‌عنوان امضای فرهنگی توسعه‌دهنده (احتمالاً با منشأ روسی) شناخته می‌شود.

وضعیت بهره‌برداری

تا ۲۰ می ۲۰۲۵، بیش از ۶۹۰۰ دانلود از بسته‌های مخرب گزارش شده، اما شواهد بهره‌برداری فعال محدود است. بااین‌حال، طراحی ماژولار و مخفیانه Chihuahua، همراه با استفاده از پلتفرم‌های معتبری مانند Google Drive، خطر سوءاستفاده گسترده را افزایش می‌دهد.

اقدامات لازم برای محافظت

برای محافظت در برابر Chihuahua Infostealer:

1. محدود کردن PowerShell: سیاست‌های اجرای PowerShell را محدود کنید (مانند تنظیم به Constrained Language Mode).

2. بررسی اسناد ابری: از باز کردن اسناد Google Drive یا OneDrive از منابع ناشناخته خودداری کنید.

3. به‌روزرسانی آنتی‌ویروس: از ابزارهای امنیتی مانند Combo Cleaner یا تشخیص‌های G DATA (مانند PowerShell.Trojan-Downloader.Agent.IE1KHF) استفاده کنید.

4. نظارت بر وظایف زمان‌بندی‌شده: وظایف مشکوک ویندوز (مانند “f90g30g82”) را بررسی و حذف کنید.

5. فعال‌سازی 2FA: احراز هویت دو مرحله‌ای را برای حساب‌های حساس (به‌ویژه کیف‌پول‌های رمزارز) فعال کنید.

6. آموزش کاربران: کارکنان را در برابر فیشینگ و مهندسی اجتماعی آموزش دهید.

چرا این تهدید مهم است؟

Chihuahua Infostealer با ترکیب تکنیک‌های ساده و پیشرفته (مانند اجرای در حافظه، رمزنگاری AES-GCM و سوءاستفاده از Google Drive) تهدیدی جدی برای کاربران شخصی و سازمان‌ها ایجاد می‌کند. این بدافزار با هدف قرار دادن کیف‌پول‌های رمزارز و اطلاعات مرورگر، می‌تواند به تخلیه دارایی‌های دیجیتال، سرقت هویت یا دسترسی غیرمجاز به حساب‌ها منجر شود. استفاده از پلتفرم‌های ابری معتبر برای انتشار، تشخیص را دشوارتر کرده و نیاز به هوشیاری را افزایش می‌دهد.