«بالو ألتو نتوركس» تكشف تفاصيل برمجية الفدية الخبيثة
شهد العالم في 11 من أبريل 2017 حملة جديدة من رسائل البريد المزعجة والخبيثة، التي استعانت برسائل البريد الإلكتروني تحمل عنوان الخدمة البريدية في الولايات المتحدة (USPS).
وقامت بإعادة توجيه رسائل تحتوي على روابط إلى مواقع ميكروسوفت وورد وهمية على الإنترنت، ومن ثم طلبت مواقع الوورد الوهمية هذه من الضحايا تثبيت البرمجية الخبيثة والمخفية على أنها أحد الأضافات الخاصة بحزمة ميكروسوفت أوفيس.
وظهر خلال هذه الحملة برمجية الفدية الخبيثة والجديدة مول Mole، وذلك لأن أسماء الملفات المشفرة من قبل برمجية الفدية الخبيثة هذه تنتهي باللاحقة.Mole، ويبدو أن Mole تشكل جزءًا من عائلة برمجيات الفدية الخبيثة كريبتوميكس CryptoMix، وذلك لكونها تشترك بالعديد من الخصائص مع المتغيرين Revenge وCryptoShield من عائلة كريبتوميكس CryptoMix.
لكن هذه الحملة سرعان ما قامت بتغيير أسلوبها وزيادة مستوى التعقيد، فبعد مرور يومين، أي في 13 من أبريل 2017، قام المهاجمون الذين يقفون وراء أضافات أوفيس الوهمية بتغيير أسلوبهم من خلال طرح برمجية خبيثة إضافية.
فإلى جانب التعرض إلى برمجية الفدية الخبيثة مول Mole، سيصاب الضحايا بالبرمجيتين الخبيثتين كوفتر Kovter وميورف Miuref.
وفي اليوم التالي، أي في 14 من أبريل 2017، توقف المهاجمون عن استخدام روابط معاد توجيهها ضمن رسائل البريد المزعجة والخبيثة، وعوضًا عن ذلك قاموا بربطها مباشرةً إلى موقع وورد وهمي عبر الإنترنت.
ويبين الشكل رقم (1) الأسلوب المتغير الذي اتبعه المهاجمين بدءًا من يوم الثلاثاء، 11 أبريل 2017، حتى يوم الجمعة 14 أبريل 2017.
وتميل معظم حملات رسائل البريد المزعجة والخبيثة الواسعة النطاق إلى التمسك بأنماط تشغيل يسهل التعرف عليها وتعقبها، وقد قامت هذه الحملة بالذات بالتطور بسرعة أكبر مما نشهده عادةً، ومن المرجح أنهم اتبعوا هذا الأسلوب المتغير من أجل تجنب اكتشافهم.
وتستمر هذه الحملة بالتطور والانتشار، فبحلول يوم الثلاثاء الـ 18 أبريل 2017، توقفت عن نشر ببرمجية الفدية الخبيثة مول Mole، وبدأت بإقحام البرمجية الخبيثة KINS banking Trojan مع كل من كوفتر Kovter وميورف Miuref.
وبقدوم يوم الجمعة، 21 من أبريل 2017، انتقلت هذه الحملة من رسائل البريد الإلكتروني المرتبطة بالخدمة البريدية في الولايات المتحدة (USPS)، إلى رسائل مخالفات السرعة الزائدة، حيث بدأت باستخدام موقع خدمات وهمي لإيقاف السيارات.
لكن لماذا توقفنا عن رصد برمجية الفدية الخبيثة مول Mole؟ السبب بسيط، لأن عائلات برمجيات الفدية الخبيثة تتغير باستمرار، حيث من النادر بقاء متغيرات كريبتوميكس CryptoMix قيد الاستخدام لأكثر من بضعة أسابيع، وذلك قبيل إعادة حزمها ونشرها كصيغة متغيرة جديدة.
كما أن عينات برمجية الفدية الخبيثة مول Mole التي قمنا بتحديدها حتى الآن مرتبطة ببرمجية أوتوفوكس AutoFocus باستخدام التاغ MoleRansomware.
وستواصل شركة بالو ألتو نتووركس التحقيق والكشف عن هذا النشاط من أجل المؤشرات القابلة للتطبيق، ولإعلام المجتمع، ولتعزيز منصة الوقاية من التهديدات التي لدينا.