احذر من خرائط كورونا … برامج ضارة لسرقة كلمات المرور
لن يتوقف مجرمو الإنترنت عن استغلال أي فرصة للاحتيال على مستخدمي الإنترنت. احذر من خرائط كورونا
مع انتشار فايروس كورونا أصبح لدى الهاكرز فرصة قوية وكبيرة لنشر البرامج الضارة أو شن هجمات إلكترونية.
أصدرت Reason Cybersecurity تقريرا مفصلاً لتحليل التهديدات والهجمات مع تزايد رغبة مستخدمي الإنترنت للحصول على معلومات حول الفيروس التاجي الجديد الذي يسبب الخراب في جميع أنحاء العالم.
يهدف هجوم البرمجيات الخبيثة على وجه التحديد إلى استهداف أولئك الذين يبحثون عن عروض خرائطية لانتشار COVID-19 على الإنترنت ، ويخدعهم لتنزيل وتشغيل تطبيق ضار يظهر في الواجهة الأمامية خريطة ولكن في الخلفية يعرض الكمبيوتر للخطر.
تهديد جديد بمكون برامج ضارة قديم
التهديد الأخير، والمصمم لسرقة المعلومات من الضحايا ، كان أول رصد له من قبل MalwareHunterTeam الأسبوع الماضي، والآن تم تحليلها من قبل Shai Alfasi ، وهو باحث في مجال الأمن السيبراني .
يتضمن المكون برنامجًا ضارًا تم تحديده على أنه AZORult ، وهو برنامج ضار لسرقة المعلومات تم اكتشافه في عام 2016. تجمع البرامج الضارة AZORult المعلومات المخزنة في متصفحات الويب ، وخاصة ملفات تعريف الارتباط وتاريخ التصفح ومعرفات المستخدم وكلمات المرور وحتى مفاتيح التشفير.
مع هذه البيانات المستمدة من المتصفحات ، من الممكن لمجرمي الإنترنت سرقة أرقام بطاقات الائتمان وبيانات اعتماد تسجيل الدخول والعديد من المعلومات الحساسة الأخرى.
يقال أن AZORult تمت مناقشته في المنتديات السرية الروسية كأداة لجمع البيانات الحساسة من أجهزة الكمبيوتر. يأتي مع متغير قادر على إنشاء حساب مسؤول مخفي في أجهزة الكمبيوتر المصابة لتمكين الاتصالات عبر بروتوكول سطح المكتب البعيد (RDP).
تحليل العينة
يقدم “Alfasi” تفاصيل فنية عند دراسة البرامج الضارة ، المضمنة في الملف ، والتي تسمى عادةً Corona-virus-Map.com.exe . إنه ملف Win32 EXE صغير بحجم يبلغ حوالي 3.26 ميغابايت فقط.
يؤدي النقر المزدوج فوق الملف إلى فتح نافذة تعرض معلومات متنوعة حول انتشار COVID-19. الجزء المركزي عبارة عن “خريطة للعدوى” شبيهة بالخريطة التي استضافتها جامعة جونز هوبكنز ، وهي مصدر شرعي على الإنترنت لتصور وتتبع حالات الإصابة بفيروسات كورونا في الوقت الفعلي.
يتم عرض عدد الحالات المؤكدة في بلدان مختلفة على الجانب الأيسر في حين أن الإحصائيات المتعلقة بالوفيات والتعافي على اليمين. تبدو النافذة تفاعلية ، مع علامات تبويب لمختلف المعلومات الأخرى ذات الصلة وروابط للمصادر.
يقدم واجهة مستخدم رسومية مقنعة لا يشك الكثيرون في أنها ضارة. المعلومات المقدمة ليست مزيجًا من البيانات العشوائية ، بل هي معلومات COVID-19 الفعلية المجمعة من موقع Johns Hopkins على الويب.
تجدر الإشارة إلى أن خريطة الفيروسات التاجية الأصلية التي تستضيفها جامعة جونز هوبكنز أو ArcGIS على الإنترنت ليست معدية أو مستترة بأي شكل من الأشكال وهي آمنة للزيارة.
يستخدم البرنامج الضار بعض طبقات الحشو جنبًا إلى جنب مع تقنية المعالجة الفرعية المتعددة المصممة لجعل من الصعب على الباحثين الكشف والتحليل. بالإضافة إلى ذلك ، يستخدم برنامج جدولة المهام حتى يتمكن من متابعة العمل.
علامات العدوى
يؤدي تنفيذ Corona-virus-Map.com.exe إلى إنشاء نسخ مكررة من ملف Corona-virus-Map.com.exe والعديد من Corona.exe و Bin.exe و Build.exe و Windows.Globalization.Fontgroups. ملفات إكس.
بالإضافة إلى ذلك ، تقوم البرامج الضارة بتعديل عدد قليل من السجلات ضمن ZoneMap و LanguageList. يتم أيضًا إنشاء العديد من كائنات المزامنة.
تقوم الملفات التنفيذية للبرامج الضارة بالعمليات التالية: Bin.exe و Windows.Globalization.Fontgroups.exe و Corona-virus-Map.com.exe. تحاول هذه الاتصال بالعديد من عناوين URL.
هذه العمليات وعناوين URL ليست سوى عينة لما يستلزمه الهجوم. هناك العديد من الملفات الأخرى التي تم إنشاؤها والشروع في العمليات. ينشئون أنشطة اتصال شبكة مختلفة حيث تحاول البرامج الضارة جمع أنواع مختلفة من المعلومات.
كيف يسرق الهجوم المعلومات
قدم “Alfasi” وصفا مفصلا لكيفية تشريح البرمجيات الخبيثة في منشور مدونة على مدونة Reason Security. أحد التفاصيل البارزة هو تحليله لعملية Bin.exe مع Ollydbg. وفقًا لذلك ، كتبت العملية بعض مكتبات الارتباط الديناميكي (DLL). لفتت مكتبة الارتباط الديناميكي “nss3.dll” انتباهه لأنه شيء تعرّف عليه من ممثلين مختلفين.
لاحظ “Alfasi” تحميلًا ثابتًا لواجهات برمجة التطبيقات المرتبطة بـ nss3.dll. يبدو أن واجهات برمجة التطبيقات هذه تسهل فك تشفير كلمات المرور المحفوظة بالإضافة إلى توليد بيانات الإخراج.
هذا نهج شائع يستخدمه لصوص البيانات. بسيطة نسبيًا ، فهي تلتقط فقط بيانات تسجيل الدخول من متصفح الويب المصاب وتنقلها إلى المجلد C: \ Windows \ Temp. إنها واحدة من السمات المميزة لهجوم AZORult ، حيث تقوم البرامج الضارة باستخراج البيانات ، وتولد معرفًا فريدًا للكمبيوتر المصاب ، وتطبق تشفير XOR ، ثم تبدأ اتصالات C2.
تقوم البرامج الضارة بإجراء مكالمات محددة في محاولة لسرقة بيانات تسجيل الدخول من الحسابات الشائعة عبر الإنترنت مثل Telegram و Steam.
للتأكيد ، فإن تنفيذ البرامج الضارة هو الخطوة الوحيدة اللازمة لها لمتابعة عمليات سرقة المعلومات. لا يحتاج الضحايا إلى التفاعل مع النافذة أو إدخال معلومات حساسة فيها.
التنظيف والوقاية
قد يبدو الأمر ترويجيًا ، لكن Alfasi يقترح برنامج Reason Antivirus كحل لإصلاح الأجهزة المصابة ومنع المزيد من الهجمات. إنه ينتمي إلى Reason Security ، بعد كل شيء. السبب هو أول من اكتشف ويفحص هذا التهديد الجديد ، حتى يتمكنوا من التعامل معه بشكل فعال.
من المحتمل أن تكون شركات الأمن الأخرى قد علمت بالفعل بهذا التهديد ، منذ نشر Reason للجمهور في 9 مارس. سيتم تحديث برامج الحماية من الفيروسات أو أدوات الحماية من البرامج الضارة اعتبارًا من وقت النشر.
على هذا النحو ، قد تكون قادرة بالمثل على اكتشاف ومنع التهديد الجديد.
المفتاح لإزالة وإيقاف البرامج الخبيثة “خريطة فيروسات التاجية” هو أن يكون لديك نظام حماية البرامج الضارة الصحيح. سيكون من الصعب اكتشافه يدويًا ، ناهيك عن إزالة العدوى بدون أداة البرامج الصحيحة. احذر من خرائط كورونا
قد لا يكون من الكافي توخي الحذر في تنزيل الملفات وتشغيلها من الإنترنت ، حيث يميل الكثير إلى الإفراط في الوصول إلى معلومات حول فيروس كورونا الجديد في الوقت الحاضر.
يستحق تشتت مستوى وباء COVID-19 أقصى درجات الحذر ليس فقط في وضع عدم الاتصال (لتجنب الإصابة بالمرض) ولكن أيضًا عبر الإنترنت. يستغل المهاجمون السيبرانيون شعبية الموارد المتعلقة بالفيروس التاجي على الويب ، ومن المرجح أن يقع العديد منهم فريسة للهجمات.