Remus Stealer

یک بدافزار سرقت اطلاعات که به تازگی شناسایی شده و با نام REMUS شناخته می‌شود، به دلیل سرعت بالای توسعه، گسترش مجموعه ویژگی‌ها و شباهت روزافزون به یک عملیات حرفه‌ای بدافزار به عنوان سرویس (MaaS)، توجه زیادی را در سراسر اکوسیستم جرایم سایبری به خود جلب کرده است. محققان امنیتی و تحلیلگران بدافزار پیش از این شباهت‌های بین REMUS و بدافزار معروف Lumma Stealer را، به ویژه در تکنیک‌های هدف‌گیری مرورگر، مکانیسم‌های سرقت اطلاعات و قابلیت‌های دور زدن رمزگذاری، برجسته کرده‌اند.

بررسی ۱۲۸ پست زیرزمینی مرتبط با عملیات REMUS بین ۱۲ فوریه و ۸ مه ۲۰۲۶، بینش ارزشمندی در مورد چگونگی بازاریابی، نگهداری و عملیاتی شدن این بدافزار در جوامع مجرمان سایبری ارائه می‌دهد. مطالب جمع‌آوری‌شده شامل تبلیغات، اطلاعیه‌های ویژگی‌ها، گزارش‌های به‌روزرسانی، ارتباطات با مشتریان و بحث‌های عملیاتی بود که به محققان اجازه می‌داد تا تکامل پلتفرم را ردیابی کرده و اولویت‌های شکل‌دهنده توسعه آن را شناسایی کنند.

یافته‌ها چیزی فراتر از یک کمپین ساده‌ی سرقت اطلاعات را آشکار می‌کنند. REMUS نشان‌دهنده‌ی یک تحول گسترده‌تر در اقتصاد جرایم سایبری است، جایی که عملیات بدافزارها از طریق به‌روزرسانی‌های مداوم، پشتیبانی مشتری، بهینه‌سازی عملیاتی و استراتژی‌های کسب درآمد بلندمدت، به طور فزاینده‌ای شبیه شرکت‌های نرم‌افزاری قانونی می‌شود.

چرخه توسعه تهاجمی، نشانگر بلوغ عملیات MaaS است

عملیات REMUS یک جدول زمانی توسعه غیرمعمول، فشرده و بسیار تهاجمی را نشان داد. به جای تبلیغ یک محصول بدافزار ایستا، اپراتورها به طور مداوم اصلاحات، بهبودهای جمع‌آوری و ویژگی‌های مدیریتی را تنها در عرض چند ماه منتشر کردند.

فوریه ۲۰۲۶ اولین عرضه تجاری این بدافزار بود. تبلیغات اولیه به شدت بر سهولت استفاده، سرقت اطلاعات مرورگر، جمع‌آوری کوکی‌ها، سرقت توکن‌های Discord، تحویل تلگرام و قابلیت مدیریت گزارش‌ها متمرکز بود. زبان بازاریابی به شدت بر قابلیت اطمینان و دسترسی تأکید داشت، از جمله ادعاهایی مبنی بر اینکه این بدافزار هنگام جفت شدن با زیرساخت‌های رمزگذاری و سرور واسطه مؤثر، تقریباً به نرخ بازگشت موفقیت‌آمیز ۹۰٪ دست یافته است. اپراتورها همچنین «پشتیبانی ۲۴ ساعته» و قابلیت استفاده ساده را تبلیغ کردند، که نشان می‌دهد تجاری‌سازی و تجربه مشتری از ابتدا اولویت‌های اصلی بوده‌اند.

مارس ۲۰۲۶ فعال‌ترین مرحله توسعه این کمپین بود. در این دوره، این بدافزار فراتر از سرقت ساده اعتبارنامه‌ها، به یک پلتفرم عملیاتی گسترده‌تر گسترش یافت. به‌روزرسانی‌ها قابلیت‌های بازیابی توکن، ردیابی کارگران، داشبوردهای آماری، فیلتر کردن گزارش‌های تکراری، بهبود قابلیت مشاهده بارگذار و بهبود گردش کار تحویل تلگرام را معرفی کردند. چندین اطلاعیه به‌طور خاص بر مدیریت کمپین و نظارت عملیاتی به‌جای سرقت صرف داده‌ها متمرکز بودند که نشان‌دهنده تغییر استراتژیک به سمت مقیاس‌پذیری و مدیریت است.

آوریل ۲۰۲۶ تأکید بیشتری بر تداوم جلسه و مصنوعات احراز هویت سمت مرورگر نشان داد. این عملیات سازگاری با پروکسی SOCKS5، قابلیت ضد ماشین مجازی، هدف‌گیری پلتفرم بازی، بازیابی توکن بهبود یافته و مکانیسم‌های جمع‌آوری مرتبط با مدیریت رمز عبور را اضافه کرد. یکی از به‌روزرسانی‌ها به صراحت به جمع‌آوری IndexedDB اشاره داشت که افزونه‌های مرورگر مرتبط با ۱Password و LastPass را هدف قرار می‌دهد، در حالی که سایر اطلاعیه‌ها به جستجوهای مرتبط با Bitwarden اشاره داشتند. این تحولات، تمرکز فزاینده‌ای را بر حفظ دسترسی احراز هویت شده به جای صرفاً جمع‌آوری نام‌های کاربری و رمزهای عبور برجسته کرد.

در اوایل ماه مه ۲۰۲۶، به نظر می‌رسید که این کمپین از گسترش سریع به سمت تثبیت عملیاتی در حال گذار است. به‌روزرسانی‌های باقی‌مانده عمدتاً بر رفع اشکالات، تلاش‌های بهینه‌سازی، بهبودهای بازیابی و اصلاحات مدیریتی متمرکز بودند، که نشان می‌داد این پلتفرم وارد مرحله نگهداری و مقیاس‌پذیری شده است.

فراتر از لوما: REMUS به یک سرویس جرایم سایبری تجاری تبدیل می‌شود

گزارش‌های عمومی اغلب REMUS را به عنوان یک جانشین یا نوع مهم فنی Lumma Stealer معرفی کرده‌اند. تحلیلگران این بدافزار را به عنوان یک دزد اطلاعات ۶۴ بیتی توصیف کرده‌اند که چندین ویژگی مشترک با Lumma دارد، از جمله سرقت اطلاعات محرمانه متمرکز بر مرورگر، بررسی‌های ضد ماشین مجازی و قابلیت دور زدن رمزگذاری.

با این حال، ارتباطات زیرزمینی نشان می‌دهد که این عملیات بسیار فراتر از اصل و نسب فنی است. اپراتورهای REMUS دائماً این بدافزار را به عنوان یک محصول جرایم سایبری حرفه‌ای که با به‌روزرسانی‌های مداوم، بهبودهای عملیاتی، کمک به مشتری و قابلیت‌های جمع‌آوری گسترده پشتیبانی می‌شود، به بازار عرضه می‌کردند. سبک ارتباطی این بدافزار، محیط‌های توسعه نرم‌افزار قانونی را به خوبی منعکس می‌کرد، جایی که نسخه‌بندی، عیب‌یابی و نقشه راه ویژگی‌ها نقش مهمی در حفظ مشتری دارند.

تأکید مکرر بر نرخ موفقیت تحویل، قابلیت اطمینان عملیاتی و بهینه‌سازی زیرساخت، تلاش آشکاری را برای ایجاد اعتماد در بین خریداران بالقوه و شرکت‌های وابسته نشان داد. REMUS به جای اینکه به عنوان یک بدافزار اجرایی مستقل عمل کند، به طور فزاینده‌ای خود را به عنوان یک پلتفرم مجرمانه مقیاس‌پذیر که برای پشتیبانی از فعالیت‌های مجرمانه سایبری پایدار طراحی شده است، معرفی کرد.

سرقت نشست (session) ارزشمندتر از برداشت سنتی اعتبارنامه‌ها می‌شود

یکی از مهم‌ترین مضامین مشاهده‌شده در طول کمپین REMUS، تأکید فزاینده بر سرقت نشست‌ها و تداوم دسترسی احراز هویت‌شده بود.

از نظر تاریخی، بسیاری از سارقان اطلاعات عمدتاً بر روی جمع‌آوری نام‌های کاربری و رمزهای عبور تمرکز داشتند. با این حال، REMUS به طور مداوم کوکی‌های مرورگر، توکن‌های احراز هویت، جلسات فعال، گردش‌های کاری بازیابی با کمک پروکسی و مصنوعات احراز هویت ذخیره شده در مرورگر را در اولویت قرار می‌داد. از اولین مطالب تبلیغاتی به بعد، به نظر می‌رسید که مدیریت جلسات احراز هویت شده یکی از نقاط قوت اصلی این بدافزار بوده است.

این روند نشان دهنده یک تحول گسترده‌تر در بازارهای زیرزمینی جرایم سایبری است. جلسات احراز هویت شده سرقت شده به طور فزاینده‌ای ارزشمند شده‌اند زیرا می‌توانند از درخواست‌های احراز هویت چند عاملی، بررسی‌های تأیید دستگاه، هشدارهای ورود به سیستم و سیستم‌های احراز هویت مبتنی بر ریسک عبور کنند. به جای تکیه صرف بر اعتبارنامه‌های سرقت شده برای تلاش‌های ورود به سیستم در آینده، بازیگران تهدید به طور فزاینده‌ای به دنبال دسترسی مستقیم به محیط‌های از قبل احراز هویت شده هستند.

چندین به‌روزرسانی REMUS به‌طور خاص بر قابلیت بازیابی، سازگاری پروکسی و پشتیبانی از انواع مختلف پروکسی در طول گردش‌های کاری بازیابی توکن تأکید داشتند. این ویژگی‌ها قویاً نشان می‌دهند که ماندگاری نشست، مؤلفه اصلی استراتژی عملیاتی بدافزار بوده است.

این کمپین همچنین پلتفرم‌هایی را که جلسات فعال در آنها از ارزش بالایی برخوردارند، از جمله Discord، Steam، Riot Games و سرویس‌های مرتبط با Telegram، هدف قرار داد. این بدافزار، همراه با قابلیت جمع‌آوری و بازیابی گسترده کوکی‌ها، ظاهراً نه تنها برای سرقت اعتبارنامه‌ها، بلکه برای حفظ و عملیاتی کردن دسترسی احراز هویت شده نیز طراحی شده است.

مدیران رمز عبور و فضای ذخیره‌سازی مرورگر به اهداف کلیدی تبدیل می‌شوند

یکی از مهم‌ترین پیشرفت‌های مرحله‌ی پایانی این کمپین، ذخیره‌سازی سمت مرورگر مرتبط با اکوسیستم‌های مدیریت رمز عبور بود. تا آوریل ۲۰۲۶، اپراتورهای REMUS در حال تبلیغ قابلیت‌هایی بودند که به مکانیسم‌های ذخیره‌سازی مرورگر Bitwarden، 1Password، LastPass و IndexedDB متصل بودند.

مدیران رمز عبور مدرن، مخازن بسیار متمرکزی از اعتبارنامه‌ها، توکن‌های احراز هویت و اطلاعات حساس حساب‌های کاربری را ارائه می‌دهند که آنها را به اهداف جذابی برای عملیات مجرمان سایبری تبدیل می‌کند. ارجاعات IndexedDB به ویژه از اهمیت بالایی برخوردارند زیرا افزونه‌های مرورگر و برنامه‌های وب مدرن اغلب برای حفظ اطلاعات جلسه و داده‌های برنامه به فضای ذخیره‌سازی محلی مرورگر متکی هستند.

اگرچه پست‌های تحلیل‌شده به‌طور مستقل رمزگشایی موفقیت‌آمیز رمز عبور یا نفوذ مستقیم به مدیران رمز عبور را تأیید نمی‌کنند، اما به‌وضوح نشان می‌دهند که توسعه REMUS به سمت جمع‌آوری مصنوعات ذخیره‌سازی سمت مرورگر متصل به محیط‌های مدیریت رمز عبور تغییر کرده است.

REMUS حرفه‌ای‌سازی جرایم سایبری مدرن را برجسته می‌کند

کمپین REMUS نمونه‌ای آشکار از چگونگی شباهت روزافزون اکوسیستم‌های مدرن MaaS به شرکت‌های نرم‌افزاری ساختاریافته ارائه می‌دهد.

در سراسر ارتباطات زیرزمینی مورد تجزیه و تحلیل، اپراتورها به طور مداوم به‌روزرسانی‌های نسخه‌بندی شده، راهنمای عیب‌یابی، رفع اشکالات، بهبود ویژگی‌ها، بهبود آمار و اصلاحات دید عملیاتی را منتشر می‌کردند. اشارات به کارگران، داشبوردها، دسته‌بندی گزارش‌ها، نظارت بر لودر و دید مدیریتی نیز نشان‌دهنده وجود یک محیط چند اپراتوری با نقش‌های عملیاتی تخصصی است.

شاخص‌های کلیدی ساختار حرفه‌ای MaaS در REMUS عبارتند از:

• توسعه مداوم ویژگی‌ها و چرخه‌های به‌روزرسانی نسخه‌بندی‌شده
• پشتیبانی متمرکز بر مشتری و بهبودهای کاربردپذیری
• داشبوردهای عملیاتی، ردیابی کارگران و نظارت بر آمار
• گردش‌های کاری بازیابی جلسه که برای دسترسی مداوم طراحی شده‌اند
• هدف‌گیری ذخیره‌سازی سمت مرورگر به اکوسیستم‌های مدیریت رمز عبور گره خورده است

REMUS مسیر آینده عملیات سرقت اطلاعات را منعکس می‌کند

عملیات REMUS نشان می‌دهد که چگونه سارقان اطلاعات مدرن به سرعت در حال تکامل فراتر از سرقت اولیه اطلاعات اعتباری به پلتفرم‌های عملیاتی جامع ساخته شده برای پایداری، اتوماسیون، مقیاس‌پذیری و کسب درآمد بلندمدت هستند.

تنها در طول چند ماه، این کمپین از تبلیغ ساده بدافزار به یک اکوسیستم MaaS بالغ با تأکید بر قابلیت اطمینان عملیاتی، حفظ جلسه احراز هویت شده و قابلیت‌های جمع‌آوری داده‌های مقیاس‌پذیر، منتقل شد. تمرکز فزاینده بر بازیابی توکن، بازیابی جلسه با کمک پروکسی و مصنوعات احراز هویت سمت مرورگر، نشان‌دهنده تغییر گسترده‌تر در عملیات جرایم سایبری از سرقت رمز عبور به تنهایی و به سمت حفظ دسترسی مداوم به محیط‌های احراز هویت شده است.

چندین پیامد گسترده‌تر از کمپین REMUS پدیدار می‌شود:

• جلسات احراز هویت شده از اعتبارنامه‌های مستقل ارزشمندتر می‌شوند
• ذخیره‌سازی سمت مرورگر و اکوسیستم‌های مدیریت رمز عبور به طور فزاینده‌ای مورد هدف قرار می‌گیرند
• عملیات MaaS اکنون از نظر ساختار و گردش کار، منعکس کننده کسب و کارهای نرم افزاری قانونی است.
• مقیاس‌پذیری عملیاتی و پایداری به اولویت‌های اصلی گروه‌های مجرمان سایبری تبدیل می‌شوند.

کمپین REMUS در نهایت یک واقعیت مهم امنیت سایبری را تقویت می‌کند: درک چگونگی تجاری‌سازی، عملیاتی‌سازی و مقیاس‌بندی اکوسیستم‌های بدافزار توسط عاملان تهدید، به همان اندازه تجزیه و تحلیل خود کد بدافزار حیاتی می‌شود.