اخبار محرمانه - نسخه‌های اولیه
گزارش اولیه Palo Alto Networks در سال 2016 منتشر شد که در آن بدافزار Infy تحلیل شده است. در حملات این بدافزار از ایمیل‌های فیشینگ استفاده شده است و این ایمیل‌ها حاوی پیوست‌هایی با فرمت اسناد Word یا PowerPoint مخرب هستند. این فایل‌ها دارای یک فایل آرشیو اجرایی خود استخراج شونده (self-extracting) هستند که پس از اجرا محتوای مخرب را منتقل می‌کنند. در یک نمونه از فایل PowerPoint مخرب، تصویر یک فایل ویدئویی جعلی قرار داده شده که بنظر می‌رسد متوقف شده است، قربانی با کلیک بر روی پخش فیلم، فایل آرشیو را اجرا می‌کند.
در گزارش دوم که در سال 2017 منتشر شد، نسخه تکامل یافته Infy با نام Foudre (به معنای رعد و برق در زبان فرانسوی) بررسی شد. نسخه تکامل یافته Infy نیز با ایمیل‌های فیشینگ با پیوست فایل‌های اجرایی خود استخراج شونده توزیع می‌شود. در صورت اجرا یک بارگذار کننده اجرایی، یک DLL مخرب و یک فایل readme به سیستم قربانی منتقل می‌شود. نسخه تکامل یافته قابلیت‌هایی نظیر keylogger، دریافت محتوای کلیپ‌برد در یک چرخه ده ثانیه‌ای و اطلاعات سیستم شامل لیست فرایندها، آنتی‌ویروس‌های نصب شده، کوکی‌ها و سایر اطلاعات مرورگر را دارد.
نسخه جدید Foudre
مشابه نسخه‌های قبلی، نسخه جدید بدافزار Foudre یعنی نسخه 8 نیز در یک آرشیو WinRAR خود استخراج شونده قرار داده شده است. در این آرشیو چندین فایل اجرایی مخرب و یک فایل ویدئویی وجود دارد. فایل ویدئویی دارای فرمت MP4 و هدف اصلی درج ویدئو در فایل آرشیو منحرف کردن قربانی و نصب بدافزار حین پخش ویدئو است.
بدافزار Foudre یک ابزا با دسترسی از راه دور است که قابلیت‌های اجرای دستور، سرقت اطلاعات سیستم (مانند کلیدهای وارد شده در صفحه کلید، اطلاعات فرایندهای پردازشی و غیره) و بروزرسانی خودکار را دارد. اکثر کد و عملکرد این نسخه مشابه Infy و نسخه‌های قبلی Foudre است. اما چندین ویژگی جدید و منحصر به فرد به آن اضافه شده است.
همانطور که گفته شد در فایل آرشیو WINRAR SFX سه فایل اجرایی وجود دارد. فایل اجرایی اصلی Foudre تقریبا در VirusTotal ناشناخته است و از 67 مورد تنها 3 مورد آن‌را شناسایی می‌کنند.

در این نسخه Foudre، 2 ماژول مختلف وجود دارد. ماژول اول (i7234.dll) تابع D1 و ماژول دوم (d388) تابع D2 را در خروجی ارائه می‌دهد. فایل سوم تا کنون در بررسی ها اجرا نشده اما همچنان تحت تحلیل است. فایل فشرده و ماژول D1 تنها یک بار اجرا می‌شوند.
فایل فشرده WINRAR SFX ویژگی‌های زیر را دارد:
1. دارای آیکون ویدئو است.
2. فایل‌های اجرایی را استخراج می‌کند.
3. ماژولD1) i7234.dll) را با rundll32 اجرا می‌کند.
ویژگی‌های ماژول D1:
1. فایل ویدئویی را اجرا می‌کند.
2. در حال اجرا بودن TNRRDPKE2 را بررسی می‌کند.
3. ماژول D2 و کلید آنرا در %APPDATA% کپی می‌کند و یک فایل میانبر با نام an.lnk به آدرس C:\WINDOWS\system32\rundll32.exe a.n D2 838238125 ایجاد می‌کند.
4. فایل‌های گفته شده را از TEMP حذف می‌کند.
5. کلید (D2 (a.n را در HKEY_CURRENT_USER\Software\temp ذخیره می‌کند.
6. در آدرس HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run وجود SnailDriver را بررسی می‌کند.
7. فایل Autorun برای an.lnk را ایجاد می‌کند.
کن مسیر %PROGRAMFILES%\Kaspersky Lab را بررسی می‌کند.
9. ماژول D2 را با rundll32 "C:\WINDOWS\system32\rundll32.exe a.n D2 838238125” اجرا می‌کند.
ویژگی‌های ماژول D2 در جدول زیر ارائه شده است:

الگوریتم تولید دامنه استفاده شده در نسخه 8 Foudre تفاوت کمی با نسخه قبلی دارد. الگوریتم نسخه قبلی بصورت زیر است:
ToHex(CRC32("NRV1” + year + month + week_number)) + (".space”|”.net”|”.top”)
الگوریتم نسخه جدید بصورت زیر است که در آن NRV1 با NRTV1 جابجا شده است و .dynu.net به دامنه‌ها اضافه شده است:
ToHex(CRC32("NRTV1” + year + month + week_number)) + (".space”|”.net”|”.top”|”.dynu.net”)
برخی دامنه‌های ساخته شده در بخش IoCهای موجود در انتهای این گزارش ارائه شده‌اند. قدیمی‌ترین دامنه‌ای که با این الگوریتم ساخته شده‌اند در تاریخ 5 نوامبر 2017 (14 آبان 1396) ثبت شده است.

نتیجه‌گیری
با توجه به محتوای ویدئو و اطلاعات گزارش شده در مورد نسخه های قبلی Foudre، بنظر می‌رسد که اهداف این بدافزار عمدتا شهروندان ایرانی هستند.
IoCها:
فایل‌ها:
WinRAR SFX c38533b85e4750e6f649cc407a50031de0984a8f3d5b90600824915433a5e218 •
D1 DLL a02ce6768662ef250d248c158f26129dd4dfab30845d07962fbfe7aa19b16db9 •
D2 DLL c7279a32329ebb1ab5c1cdbfbddb5a167e1505340c3ca72e837a222ff92665a6 •
Unknown Binary cef161a220e019acc9ae79924a477c64aac2d6cc04126bb3f4a9f8452515f40f •
MP4 dbed2ca2e9c53dd72c3ed3ce60e603c6c91c80152f924d97d8514781e6d9e26f •
lockbox3 signature d2645d16e869addd099727c3c58438c2f6935d92c00f9e4b237ef498de1dad87 •
سرورهای C&C:
185[.]61[.]154,26 •
ns1[.]cf75d89b[.]space •
ns2[.]cf75d89b[.]space •
Week 32 (Aug 5) – fe19f97f[.]space •
Week 33 (Aug 12) – 891ec9e9[.]space •
Week 34 (Sept 2) – 177a5c4a[.]space •
Week 35 (Sept 9) – 607d6cdc[.]space •
Week 36 (Sept 16) – f8b65751[.]space •
Week 37 (Sept 23) – 8fb167c7[.]space •
Week 38 (Sept 30) – 1f0e7a56[.]space •
Week 39 (Oct 7) – 68094ac0[.]space •
Week 40 (Oct 14) – 1d8bfc20[.]space •

http://www.SecretNews.ir/fa/News/12258/شاهزاده-ایرانی-یک-بدافزار-است