التهديد Rovnix يعود خلال جائحة كورونا بقدرات تخريبية جديدة
شهد باحثون في كاسبرسكي خلال إبريل الماضي عودة التهديدالمعروف Rovinx، الذي يتألف من مجموعة أدوات برمجية خبيثة أُنشئت لتنزيل برمجيات خبيثة على الأجهزة المستهدفة مع حمايتها من الانكشاف، وذلك في إطار حملة تخريبية استغلت جائحة فيروس كورونا المستجد.
وخضع Rovnix الذي يتهدد جذر النظام المستهدف إلى ترقية ضُمِّنت حِملًا برمجيًا غير مألوف، في حين أصبح قادرًا على إصابة النظام بمنفذ خلفي مزوَّد بتروجان تجسس.
كان التهديد Rovnix رائجًا حتى جرى تسريب شيفرته المصدرية في العام 2013، ما جعله متاحًا للتمحيص والتحليل من قبل منتجي الحلول الأمنية وأطراف معنية أخرى. ومع ذلك، اكتشفت أنظمة مراقبة التهديدات لدى كاسبرسكي، في منتصف إبريل 2020، ملفات خبيثة تتضمّن مجموعة الأدوات البرمجية الخبيثة Rovnix. وقد جرى توزيع تلك الملفات، التي احتوت على التهديد المعروف، تحت اسم "مبادرة جديدة من البنك الدولي تتعلق بجائحة كورونا" باللغة الروسية.
وتضمنت مجموعة الأدوات البرمجية الخبيثة عددًا من التحسينات، مثل آلية لتجاوز ميزة "التحكّم في حساب المستخدم" UAC، وترقية الامتيازات على الجهاز المصاب، وحمولة برمجيات لم تكن ترتبط عادةً بمجموعة الأدوات البرمجية المحدّدة. وأظهر تحليل للملفات المكتشفة أن الحمولة كانت في الواقع منفذًا خلفيًا مع عناصر خاصة بتروجان للتجسس، ما يعني تمكين المهاجمين، بمجرد تثبيتها على الجهاز المصاب، من الوصول إلى الجهاز وجمع أنواع مختلفة من المعلومات منه.
وجرى توزيع التهديد عبر الملف المعنون بالاسم on the new initiative of the World Bank in connection with the coronavirus pandemic.exe، وهو ملف أرشيفي يُستخرج ذاتيًا ويتضمّن ملفًا مستنديًا وملفًا خبيثًا قابلًاللتنفيذ. واحتوى المستند على معلومات حول مبادرة جديدة من البنك الدولي جرى خلالها الاستشهاد بأقوال مسؤولين حقيقيين يعملون في المنظمة بوصفهم مؤلفين مشاركين في إعداد البيانات الوصفية، وذلك من أجل جعل الملف أكثر إقناعًا. ومع ذلك، يجري تنزيل مجموعة الأدوات الخبيثة وتبدأ الإصابة بمجرد فتح ذلك الملف
