تقرير حديث يكشف قدرة البرامج الخبيثة القديمة على التكيف وإعادة إصابة الملفات
كشف تقرير حديث لخبراء امن المعلومات عن طرق الإصابة المعقدة لسلالات البرامج الخبيثة DarkGate وEmotet وLokiBot وعلى ضوء البرمجة التي يتسم بها برنامج DarkGate، إلى جانب العودة القوية للبرنامج الخبيث Emotet، تتواصل تهديدات برامج LokiBot، في دلالة واضحة على التطور المستمر لمشهد الأمن السيبراني كما أن هذه السلالات من البرامج الخبيثة تتكيف وتعتمد طرقًا جديدة للإصابة ويتعين على الأفراد والشركات البقاء على اليقظة، والاستثمار في حلول قوية للأمن السيبراني.
تكيف البرامج الخبيثة
وفي يونيو من العام الجاري 2023، اكتشف الباحثون أداة تحميل جديدة تسمى DarkGate، وتبين لهم أنها تملك مجموعة من الخصائص التي تتجاوز وظائف التحميل النموذجية ومن أهم إمكاناتها وجود أداة حوسبة الشبكة الافتراضية المخفية، وقدرتها على استبعاد أداة الحماية Windows Defender، وسرقة الملفات المحفوظة في المتصفح وخادم البروكسي المعكوس وإدارة الملفات، وسرقة الرمز المميز للسلسلة Discord وتتضمن عملية DarkGate سلسلة من أربع مراحل تكون مصممة بطريقة معقدة لتؤدي إلى تحميل البرنامج الخبيث نفسه.
ومن أهم ما تمتاز به أداة التحميل هذه طريقتها في تشفير السلاسل باستخدام مفاتيح مخصصة، وإصدار مخصص من لغة البرمجة Base64، باستخدام مجموعة أحرف خاصة.
كما ركز البحث على تحليل نشاط Emotet، الروبوت الشبكي سيئ السمعة الذي ظهر مرة أخرى بعد أن تم التخلص منه في العام 2021 وفي هذه حملة الأخيرة، إن قام المستخدمون بفتح الملف الخبيث OneNote عن غير قصد، سيؤدي بتنفيذ برنامج VBScript المخفي بلغة يبدو آمنًا بالنسبة إليهم. وبعدها يحاول البرنامج النصي تحميل حمولة خبيثة من مواقع إلكترونية مختلفة، إلى أن يتمكن من التسلل بنجاح إلى النظام.
ويقوم حال دخوله بزرع البرنامج الخبيث المعقد المدمر Emotet DLL في الدليل المؤقت، ثم يتولى تنفيذه. ويحتوي ملف DLL على تعليمات مخفية، أو النص البرمجي لواجهة الأوامر، مع وظائف الاسترداد المشفرة ومن خلال قيامه بفك تشفير ملف معين من قسم الموارد الخاص به، يتمكن البرنامج Emotet من الهيمنة على النظام، وينجح في إيصال حمولته الخبيثة.
وتمكن الخبراء من اكتشاف حملة تصيد احتيالي تستهدف شركات تشغيل سفن الشحن باستخدام البرنامج الخبيث LokiBot وتم تحديده لأول مرة في العام 2016، وصمم لغرض سرقة بيانات الاعتماد من التطبيقات المختلفة، بما في ذلك المتصفحات وعملاء FTP. وحملت تلك الرسائل عبر البريد الإلكتروني ملفًا مرفقًا عبارة عن مستند بنسق Excel، الأمر الذي دفع المستخدمين إلى تمكين وحدات الماكرو.
استغلال الثغرات الأمنية
واستغل المهاجمون ثغرة أمنية تعرف بالرمز (CVE-2017-0199) في Microsoft Office، ما أدى إلى تحميل مستند RTF. ودعم هذا المستند بنسق RTF لاحقًا ثغرة أمنية أخرى تعرف بالرمز (CVE-2017-11882) لتقديم وتنفيذ برنامج LokiBot الخبيثة.
وقال يورنت فان دير فيل، باحث أمني أول في فريق البحث والتحليل العالمي لدى كاسبرسكي إن عودة Emotet والحضور المستمر لبرنامج Lokibot، إضافة إلى ظهور DarkGate، يعتبر تذكيرًا صريحًا بالتهديدات الإلكترونية المتطورة التي نواجهها باستمرار.
ونقدم لكم من خلال موقع "فيتو"، تغطية ورصدًا مستمرًّا على مدار الـ 24 ساعة لـ أسعار الذهب، أسعار اللحوم، أسعار الدولار، أسعار اليورو، أسعار العملات، أخبار الرياضة، أخبار مصر، أخبار الاقتصاد، أخبار المحافظات، أخبار السياسة، أخبار الحوادث، ويقوم فريقنا بمتابعة حصرية لجميع الدوريات العالمية مثل الدوري الإنجليزي، الدوري الإيطالي، الدوري المصري، دوري أبطال أوروبا، دوري أبطال أفريقيا، دوري أبطال آسيا، والأحداث الهامة والسياسة الخارجية والداخلية، بالإضافة للنقل الحصري لـ أخبار الفن والعديد من الأنشطة الثقافية والأدبية.
