• 22/08/2023
  •  https://dg.samrl.org/l?a4934 
    تنتشر عبر البرامج الضارة.. الكشف عن 400 ألف وكيل (بروكسي) يتم تثبيتها خلسة على أنظمة ويندوز وماك
    الحقوق الرقمية |


    اكتشف باحثو ألين لابس AT&T Alien Labs مؤخرًا حملة ضخمة من التهديدات التي تقدم تطبيق خادم وكيل (بروكسي) لأجهزة ويندوز. تفرض إحدى الشركات رسومًا مقابل خدمة الوكيل على حركة المرور التي تمر عبر تلك الأجهزة. حيث تتم إعادة توجيه طلبات الوكيل من خلال أنظمة مخترقة تم تحويلها إلى نقاط خروج بسبب تسلل البرامج الضارة.

    ملخص تنفيذي
    اكتشف باحثو AT&T Alien Labs مؤخرًا حملة ضخمة من التهديدات التي تقدم تطبيق خادم وكيل (بروكسي) لأجهزة ويندوز. تفرض إحدى الشركات رسومًا مقابل خدمة الوكيل على حركة المرور التي تمر عبر تلك الأجهزة.

    في هذا البحث، حددت Alien Labs شركة تقدم خدمات الوكيل، حيث تتم إعادة توجيه طلبات الوكيل من خلال أنظمة مخترقة تم تحويلها إلى نقاط خروج بسبب تسلل البرامج الضارة. على الرغم من أن موقع الوكيل يدعي أن نقاط الخروج الخاصة به تأتي فقط من المستخدمين الذين تم إبلاغهم ووافقوا على استخدام أجهزتهم، إلا أن Alien Labs لديها دليل على أن مؤلفي البرامج الضارة يقومون بتثبيت الوكيل بصمت في الأنظمة المصابة. بالإضافة إلى ذلك، نظرًا لأنه تم توقيع تطبيق الوكيل، فإنه لا يتم اكتشافه بواسطة برامج مكافحة الفيروسات، مما يجعله يتجنب الكشف من قِبَل شركات الأمان.
    في مقالة المتابعة هذه، نستكشف الارتفاع الكبير في البرامج الضارة التي تعمل بنظام التشغيل ويندوز والتي توفر نفس الحمولة لإنشاء شبكة روبوتية مكونة من 400 ألف وكيل.

    النقاط الرئيسية:
    - في أسبوع واحد فقط، لاحظ باحثو AT&T Alien Labs أكثر من ألف عينة جديدة من البرامج الضارة في بيئة التشغيل/ الويب تقدم تطبيق الوكيل.
    - وفقًا لموقع الوكيل، هناك أكثر من 400000 نقطة خروج للوكيل، وليس من الواضح عدد التي تم تثبيتها بواسطة البرامج الضارة.
    - يتم تثبيت التطبيق بصمت بواسطة البرامج الضارة على الأجهزة المصابة دون معرفة المستخدم وتفاعله.
    - تم توقيع تطبيق الوكيل -تزويد التطبيق بتوقيع رقمي صالح وصحيح- بما يضمن أن التطبيق لم يتم تعديله بشكل غير مصرح به، وهو ما يسمح له بالتجاوز من قِبل برامج مكافحة الفيروسات وأدوات الحماية الأخرى التي عادةً ما تكتشف وتحجب البرامج الضارة.
    - الوكيل مكتوب بلغة برمجة Go وينتشر عن طريق البرامج الضارة على نظامي التشغيل Windows وmacOS.

    تحليل
    في مشهد التهديدات السيبرانية المتطور باستمرار، تجد الجهات الخبيثة باستمرار طرقًا جديدة ومبتكرة لاستغلال التكنولوجيا لتحقيق مكاسب خاصة بها. لاحظت Alien Labs مؤخرًا اتجاهًا ناشئًا حيث يستخدم منشئو البرامج الضارة تطبيقات الوكيل كأداة مفضلة لديهم. تقوم سلالات مختلفة من البرامج الضارة بتوصيل الوكيل - بالاعتماد على المستخدمين الذين يبحثون عن أشياء مثيرة للاهتمام، مثل البرامج والألعاب المهكرة.

    تمت كتابة الوكيل بلغة البرمجة Go، مما يمنحه المرونة اللازمة لتجميعه في ثنائيات متوافقة مع أنظمة التشغيل المختلفة، بما في ذلك macOS وWindows. على الرغم من حقيقة أن الثنائيات نشأت من نفس كود المصدر، إلا أنه يتم اكتشاف عينات macOS من خلال العديد من عمليات التحقق الأمني ​​بينما يلتف تطبيق وكيل Windows حول هذه التدابير غير المرئية. يرجع هذا النقص في الاكتشاف على الأرجح إلى توقيع التطبيق.

    بعد تنفيذه على نظام مخترق، تستمر البرامج الضارة في تنزيل تطبيق الوكيل وتثبيته بهدوء. تتم هذه العملية السرية دون الحاجة إلى أي تدخل من المستخدم، وغالبًا ما تحدث جنبًا إلى جنب مع تثبيت برامج ضارة إضافية أو عناصر برامج إعلانية. يتم تعبئة تطبيق الوكيل ومعظم البرامج الضارة التي تقدمه باستخدام Inno Setup ، وهو برنامج تثبيت Windows مجاني وشائع.

    طرق الانتشار وتأثيره

    تعتبر طرق النشر مكانًا زلقًا آخر هناك. كما ذكرت أعلاه، فإن جزء البرنامج الذي يجعل النظام المصاب يعمل كعقدة وكيل موجود داخل ملف تثبيت العميل. ما عليك سوى تجربة ذلك - وسيصبح نظامك عنصرًا آخر في شبكة الروبوتات هذه التي يبلغ عددها 400000 . ومع ذلك، فإن الأمور لم تنته بعد مع هذه المثبتات المصابة بفيروس طروادة.

    يعرف المهاجمون أن العديد من الأشخاص يقومون بتعطيل برامج مكافحة الفيروسات الخاصة بهم عند تنزيل البرامج المقرصنة وتثبيتها . لذلك، من خلال هذا الإجراء، يمنح الأشخاص المهاجمين الضوء الأخضر لتثبيت البرامج الضارة على أجهزة الكمبيوتر الخاصة بهم. يمكن تنزيل البرامج المكسورة من مصادر مختلفة، بما في ذلك مواقع التورنت ومواقع مشاركة الملفات وحتى مواقع تنزيل البرامج الشرعية. غالبًا ما تكون البرامج الضارة مخفية في أداة تثبيت البرنامج أو في أدوات إنشاء المفاتيح المستخدمة لتنشيط البرامج المقرصنة. وبصرف النظر عن مواقع القراصنة، فإن المصدر الرئيسي لهذه البرامج الضارة هو الإعلانات. في بعض الأحيان، يسمح مؤلفو البرامج المجانية عديمي الضمير عن غير قصد أو عن قصد باستخدام منتجاتهم كوسيلة للتسليم.

    علامات الإصابة
    تشمل العلامات الرئيسية للإصابة بالبرامج الوكيلة: ضعف الأداء، وتدهور سرعة الإنترنت، والتواصل المتكرر مع عناوين IP أو نطاقات غير معروفة. يجب عليك إزالة الملف القابل للتنفيذ " Digital Pulse " الموجود في " %AppData% " ومفتاح التسجيل في " HKCUSoftwareMicrosoftWindowsCurrentVersionRun "، بالإضافة إلى المهمة المجدولة المسماة " DigitalPulseUpdateTask ". هذا كل ما في الأمر عندما يتعلق الأمر بإزالة هذا التهديد، ولكننا نوصي بحماية نفسك من الحالات الأخرى أيضًا.

    كيفية تجنب الوكلاء غير الواضحين والبرامج الضارة؟
    ابتعد عن استخدام مواقع مشاركة برامج p2p. تعد أدوات تتبع التورنت أرضًا خصبة للبرامج الضارة. إذا كنت تعتقد أن مؤلفي إعادة التعبئة غير أنانيين، فأنت مخطئ. إذا كنت تريد تجنب الدفع لمطور التطبيق عمدًا مقابل عمله، فسيتعين عليك أن تدفع لمعيد التعبئة دون علمك. ومع ذلك، فإن السعر مرتفع جدًا ويمكن أن يتراوح من تسريب بياناتك إلى مسح جميع معلوماتك بشكل لا رجعة فيه. لذا، تجنب تنزيل البرامج المقرصنة وتشغيل الملفات التنفيذية من مصادر غير جديرة بالثقة .

    تعد حماية خصوصيتك أمرًا ضروريًا لاستخدام الخوادم الوكيلة ذات السمعة الطيبة فقط والتي تقدم عروضًا جديرة بالثقة. فيما يلي بعض النصائح لاختيار خادم وكيل حسن السمعة:

    • قراءة التقييمات من المستخدمين الآخرين . هذه طريقة رائعة للحصول على فكرة عن جودة الخدمة التي يمكنك توقعها من مزود خادم وكيل معين.
    • يرجى التأكد من أن مزود الخادم الوكيل يتمتع بسمعة جيدة . يمكنك قراءة المراجعات عبر الإنترنت أو من خلال البحث عن اعتمادات من المنظمات ذات السمعة الطيبة للتحقق من ذلك.
    • اسأل عن ميزات أمان موفر الخادم الوكيل . تأكد من أنها توفر ميزات مثل التشفير والمصادقة لحماية بياناتك.
    • استخدم فقط الخوادم الوكيلة المدفوعة . غالبًا ما تكون خوادم الوكيل المجانية غير موثوقة ويمكن استخدامها لسرقة بياناتك.
    • استخدم برامج مكافحة البرامج الضارة كإجراء وقائي. يمكن للمحتالين استخدام البرامج الضارة لسرقة معلوماتك الشخصية، أو تتبع نشاطك عبر الإنترنت، أو السيطرة على جهاز الكمبيوتر الخاص بك وضمه إلى شبكة الروبوتات. ولكن يمكن لبرامج مكافحة البرامج الضارة الموثوقة اكتشاف البرامج الضارة وإزالتها قبل أن تلحق الضرر بجهاز الكمبيوتر الخاص بك . يمكن أن يساعدك تحديث برامج مكافحة البرامج الضارة بانتظام وإجراء عمليات فحص كاملة للنظام على البقاء استباقيًا في اكتشاف الخروقات الأمنية المحتملة ومنعها. من الضروري أيضًا الحفاظ على تحديث نظام التشغيل والبرامج الأخرى لديك، حيث تتضمن تحديثات البرامج غالبًا تصحيحات أمان تعالج نقاط الضعف المعروفة.

    الخاتمة
    في عالم التهديدات السيبرانية المتغير باستمرار، تدفع العلاقة المتشابكة بين الابتكار والنوايا الخبيثة استراتيجيات جديدة من قبل الجهات الفاعلة الشريرة. إن ظهور البرامج الضارة التي تقدم تطبيقات الوكيل كاستثمار مربح، والذي تيسره البرامج التابعة، يسلط الضوء على الطبيعة الماكرة لتكتيكات الخصوم. يعمل هؤلاء الوكلاء، الذين يتم تثبيتهم سرًا عبر عروض مغرية أو برامج مخترقة، كقنوات لتحقيق مكاسب مالية غير مصرح بها. وكما أوضحنا، فإن هذا يؤكد أهمية البقاء يقظًا وقابلاً للتكيف في مواجهة التهديدات السيبرانية دائمة التطور.

    المصادر: Gridinsoft ، Alien Labs


  •  
    جميع الحقوق محفوظة لمنظمة سام © 2023، تصميم وتطوير