الأخبار التكنولوجية والاستعراضات والنصائح!

احذر من "خرائط Coronavirus" – إنها برامج ضارة تصيب أجهزة الكمبيوتر الشخصية لسرقة كلمات المرور


لن يتوقف مجرمو الإنترنت عن استغلال أي فرصة للاحتيال على مستخدمي الإنترنت.

حتى الانتشار الكارثي لـ SARS-COV-II (الفيروس) ، الذي يسبب COVID-19 (المرض) ، أصبح فرصة بالنسبة لهم لنشر البرامج الضارة أو شن هجمات إلكترونية.

أصدر Reason Cybersecurity مؤخرًا تقريرًا عن تحليل التهديدات يوضح بالتفصيل هجومًا جديدًا يستفيد من الرغبة المتزايدة لمستخدمي الإنترنت للحصول على معلومات حول الفيروس التاجي الجديد الذي يعيث فسادًا في جميع أنحاء العالم.

يهدف هجوم البرمجيات الخبيثة على وجه التحديد إلى استهداف أولئك الذين يبحثون عن عروض خرائطية لانتشار COVID-19 على الإنترنت ، ويخدعهم لتنزيل وتشغيل تطبيق ضار يظهر في الواجهة الأمامية خريطة محملة من شرعي مصدر عبر الإنترنت ولكن في الخلفية يعرض الكمبيوتر للخطر.

تهديد جديد بمكون برامج ضارة قديم

تم اكتشاف أحدث تهديد ، تم تصميمه لسرقة المعلومات من ضحايا غير مقصودين ، لأول مرة بواسطة MalwareHunterTeam الأسبوع الماضي وتم تحليله الآن من قبل شاي الفاسي ، باحث الأمن السيبراني في Reason Labs.

يتضمن برنامجًا ضارًا تم تحديده على أنه AZORult ، وهو برنامج ضار لسرقة المعلومات تم اكتشافه في عام 2016. تجمع البرامج الضارة AZORult المعلومات المخزنة في متصفحات الويب ، وخاصة ملفات تعريف الارتباط وتاريخ التصفح ومعرفات المستخدم وكلمات المرور وحتى مفاتيح التشفير.

مع هذه البيانات المستمدة من المتصفحات ، من الممكن لمجرمي الإنترنت سرقة أرقام بطاقات الائتمان وبيانات اعتماد تسجيل الدخول والعديد من المعلومات الحساسة الأخرى.

يقال أن AZORult تمت مناقشته في المنتديات السرية الروسية كأداة لجمع البيانات الحساسة من أجهزة الكمبيوتر. يأتي مع متغير قادر على إنشاء حساب مسؤول مخفي في أجهزة الكمبيوتر المصابة لتمكين الاتصالات عبر بروتوكول سطح المكتب البعيد (RDP).

تحليل العينة

يقدم الفاسي تفاصيل فنية عند دراسة البرامج الضارة ، المضمنة في الملف ، والتي يطلق عليها عادة اسم Corona-virus-Map.com.exe. إنه ملف Win32 EXE صغير بحجم حمولة يبلغ حوالي 3.26 ميغابايت فقط.

يؤدي النقر المزدوج فوق الملف إلى فتح نافذة تعرض معلومات متنوعة حول انتشار COVID-19. المحور هو "خريطة للعدوى" مماثلة لتلك التي استضافتها جامعة جونز هوبكنز ، أ مصدر شرعي على الإنترنت لتصور وتتبع حالات الفيروس التاجي المبلغ عنها في الوقت الحقيقي.

يتم عرض عدد الحالات المؤكدة في بلدان مختلفة على الجانب الأيسر في حين أن الإحصائيات المتعلقة بالوفيات والتعافي على اليمين. تبدو النافذة تفاعلية ، مع علامات تبويب لمختلف المعلومات الأخرى ذات الصلة وروابط للمصادر.

يقدم واجهة مستخدم رسومية مقنعة لا يشك الكثيرون في أنها ضارة. المعلومات المقدمة ليست مزيجًا من البيانات العشوائية ، بل هي معلومات COVID-19 الفعلية المجمعة من موقع Johns Hopkins على الويب.

تجدر الإشارة إلى أن خريطة الفيروسات التاجية الأصلية التي تستضيفها جامعة جونز هوبكنز أو ArcGIS على الإنترنت ليست معدية أو مستترة بأي شكل من الأشكال وهي آمنة للزيارة.

يستخدم البرنامج الضار بعض طبقات الحشو جنبًا إلى جنب مع تقنية المعالجة الفرعية المتعددة المصممة لجعل من الصعب على الباحثين الكشف والتحليل. بالإضافة إلى ذلك ، يستخدم برنامج جدولة المهام حتى يتمكن من متابعة العمل.

علامات العدوى

يؤدي تنفيذ Corona-virus-Map.com.exe إلى إنشاء نسخ مكررة من ملف Corona-virus-Map.com.exe والعديد من Corona.exe و Bin.exe و Build.exe و Windowsملفات .Globalization.Fontgroups.exe.
خريطة فيروس كورونا

بالإضافة إلى ذلك ، تقوم البرامج الضارة بتعديل عدد قليل من السجلات ضمن ZoneMap و LanguageList. يتم أيضًا إنشاء العديد من كائنات المزامنة.

ينفّذ تنفيذ البرامج الضارة العمليات التالية: Bin.exe، Windows.Globalization.Fontgroups.exe و Corona-virus-Map.com.exe. تحاول هذه الاتصال بالعديد من عناوين URL.

هذه العمليات وعناوين URL ليست سوى عينة لما يستلزمه الهجوم. هناك العديد من الملفات الأخرى التي تم إنشاؤها والشروع في العمليات. ينشئون أنشطة اتصال شبكة مختلفة حيث تحاول البرامج الضارة جمع أنواع مختلفة من المعلومات.

كيف يسرق الهجوم المعلومات

قدم الفاسي سردًا مفصلاً لكيفية تشريح البرامج الضارة في مشاركة مدونة على مدونة Reason Security. أحد التفاصيل البارزة هو تحليله لعملية Bin.exe مع Ollydbg. وفقًا لذلك ، كتبت العملية بعض مكتبات الارتباط الديناميكي (DLL). لفتت مكتبة الارتباط الديناميكي "nss3.dll" انتباهه لأنه شيء تعرّف عليه من ممثلين مختلفين.
خريطة فيروس كورونا

لاحظ الفاسي تحميلًا ثابتًا لواجهات برمجة التطبيقات المرتبطة بـ nss3.dll. يبدو أن واجهات برمجة التطبيقات هذه تسهل فك تشفير كلمات المرور المحفوظة بالإضافة إلى توليد بيانات الإخراج.

هذا نهج شائع يستخدمه لصوص البيانات. بسيطة نسبيًا ، فهي تلتقط فقط بيانات تسجيل الدخول من متصفح الويب المصاب وتنقلها إلى C: Windowsمجلد Temp. إنها واحدة من السمات المميزة لهجوم AZORult ، حيث تقوم البرامج الضارة باستخراج البيانات ، وتولد معرفًا فريدًا للكمبيوتر المصاب ، وتطبق تشفير XOR ، ثم تبدأ الاتصال C2.

تقوم البرامج الضارة بإجراء مكالمات محددة في محاولة لسرقة بيانات تسجيل الدخول من الحسابات الشائعة عبر الإنترنت مثل Telegram و Steam.

للتأكيد ، فإن تنفيذ البرامج الضارة هو الخطوة الوحيدة اللازمة لها لمتابعة عمليات سرقة المعلومات. لا يحتاج الضحايا إلى التفاعل مع النافذة أو إدخال معلومات حساسة فيها.

التنظيف والوقاية

قد يبدو الأمر ترويجيًا ، لكن Alfasi يقترح برنامج Reason Antivirus كحل لإصلاح الأجهزة المصابة ومنع المزيد من الهجمات. إنه ينتمي إلى Reason Security ، بعد كل شيء. السبب هو أول من اكتشف ويفحص هذا التهديد الجديد ، حتى يتمكنوا من التعامل معه بشكل فعال.

من المحتمل أن تكون شركات الأمن الأخرى قد علمت بالفعل بهذا التهديد ، منذ نشر Reason له في 9 مارس. سيتم تحديث برامج الحماية من الفيروسات أو أدوات الحماية من البرامج الضارة اعتبارًا من وقت النشر.

على هذا النحو ، قد تكون قادرة بالمثل على اكتشاف ومنع التهديد الجديد.

المفتاح لإزالة وإيقاف البرامج الخبيثة "خريطة فيروسات التاجية" هو أن يكون لديك نظام حماية البرامج الضارة الصحيح. سيكون من الصعب اكتشافه يدويًا ، ناهيك عن إزالة العدوى بدون أداة البرامج الصحيحة.

قد لا يكون من الكافي توخي الحذر في تنزيل الملفات وتشغيلها من الإنترنت ، حيث يميل الكثير إلى الإفراط في الوصول إلى معلومات حول فيروس كورونا الجديد في الوقت الحاضر.

يستحق تشتت مستوى جائحة COVID-19 أقصى درجات الحذر ليس فقط في وضع عدم الاتصال (لتجنب الإصابة بالمرض) ولكن أيضًا عبر الإنترنت. يستغل المهاجمون السيبرانيون شعبية الموارد المتعلقة بالفيروس التاجي على الويب ، ومن المرجح أن يقع العديد منهم فريسة للهجمات.