اكتشف باحثو ألين لابس AT&T Alien Labs مؤخرًا حملة ضخمة من التهديدات التي تقدم تطبيق خادم وكيل (بروكسي) لأجهزة ويندوز. تفرض إحدى الشركات رسومًا مقابل خدمة الوكيل على حركة المرور التي تمر عبر تلك الأجهزة. حيث تتم إعادة توجيه طلبات الوكيل من خلال أنظمة مخترقة تم تحويلها إلى نقاط خروج بسبب تسلل البرامج الضارة.
ملخص تنفيذي
اكتشف باحثو AT&T Alien Labs مؤخرًا حملة ضخمة من التهديدات التي تقدم تطبيق خادم وكيل (بروكسي) لأجهزة ويندوز. تفرض إحدى الشركات رسومًا مقابل خدمة الوكيل على حركة المرور التي تمر عبر تلك الأجهزة.
في هذا البحث، حددت Alien Labs شركة تقدم خدمات الوكيل، حيث تتم إعادة توجيه طلبات الوكيل من خلال أنظمة مخترقة تم تحويلها إلى نقاط خروج بسبب تسلل البرامج الضارة. على الرغم من أن موقع الوكيل يدعي أن نقاط الخروج الخاصة به تأتي فقط من المستخدمين الذين تم إبلاغهم ووافقوا على استخدام أجهزتهم، إلا أن Alien Labs لديها دليل على أن مؤلفي البرامج الضارة يقومون بتثبيت الوكيل بصمت في الأنظمة المصابة. بالإضافة إلى ذلك، نظرًا لأنه تم توقيع تطبيق الوكيل، فإنه لا يتم اكتشافه بواسطة برامج مكافحة الفيروسات، مما يجعله يتجنب الكشف من قِبَل شركات الأمان.
في مقالة المتابعة هذه، نستكشف الارتفاع الكبير في البرامج الضارة التي تعمل بنظام التشغيل ويندوز والتي توفر نفس الحمولة لإنشاء شبكة روبوتية مكونة من 400 ألف وكيل.
النقاط الرئيسية:
- في أسبوع واحد فقط، لاحظ باحثو AT&T Alien Labs أكثر من ألف عينة جديدة من البرامج الضارة في بيئة التشغيل/ الويب تقدم تطبيق الوكيل.
- وفقًا لموقع الوكيل، هناك أكثر من 400000 نقطة خروج للوكيل، وليس من الواضح عدد التي تم تثبيتها بواسطة البرامج الضارة.
- يتم تثبيت التطبيق بصمت بواسطة البرامج الضارة على الأجهزة المصابة دون معرفة المستخدم وتفاعله.
- تم توقيع تطبيق الوكيل -تزويد التطبيق بتوقيع رقمي صالح وصحيح- بما يضمن أن التطبيق لم يتم تعديله بشكل غير مصرح به، وهو ما يسمح له بالتجاوز من قِبل برامج مكافحة الفيروسات وأدوات الحماية الأخرى التي عادةً ما تكتشف وتحجب البرامج الضارة.
- الوكيل مكتوب بلغة برمجة Go وينتشر عن طريق البرامج الضارة على نظامي التشغيل Windows وmacOS.
تحليل
في مشهد التهديدات السيبرانية المتطور باستمرار، تجد الجهات الخبيثة باستمرار طرقًا جديدة ومبتكرة لاستغلال التكنولوجيا لتحقيق مكاسب خاصة بها. لاحظت Alien Labs مؤخرًا اتجاهًا ناشئًا حيث يستخدم منشئو البرامج الضارة تطبيقات الوكيل كأداة مفضلة لديهم. تقوم سلالات مختلفة من البرامج الضارة بتوصيل الوكيل - بالاعتماد على المستخدمين الذين يبحثون عن أشياء مثيرة للاهتمام، مثل البرامج والألعاب المهكرة.
تمت كتابة الوكيل بلغة البرمجة Go، مما يمنحه المرونة اللازمة لتجميعه في ثنائيات متوافقة مع أنظمة التشغيل المختلفة، بما في ذلك macOS وWindows. على الرغم من حقيقة أن الثنائيات نشأت من نفس كود المصدر، إلا أنه يتم اكتشاف عينات macOS من خلال العديد من عمليات التحقق الأمني بينما يلتف تطبيق وكيل Windows حول هذه التدابير غير المرئية. يرجع هذا النقص في الاكتشاف على الأرجح إلى توقيع التطبيق.
بعد تنفيذه على نظام مخترق، تستمر البرامج الضارة في تنزيل تطبيق الوكيل وتثبيته بهدوء. تتم هذه العملية السرية دون الحاجة إلى أي تدخل من المستخدم، وغالبًا ما تحدث جنبًا إلى جنب مع تثبيت برامج ضارة إضافية أو عناصر برامج إعلانية. يتم تعبئة تطبيق الوكيل ومعظم البرامج الضارة التي تقدمه باستخدام Inno Setup ، وهو برنامج تثبيت Windows مجاني وشائع.
تعتبر طرق النشر مكانًا زلقًا آخر هناك. كما ذكرت أعلاه، فإن جزء البرنامج الذي يجعل النظام المصاب يعمل كعقدة وكيل موجود داخل ملف تثبيت العميل. ما عليك سوى تجربة ذلك - وسيصبح نظامك عنصرًا آخر في شبكة الروبوتات هذه التي يبلغ عددها 400000 . ومع ذلك، فإن الأمور لم تنته بعد مع هذه المثبتات المصابة بفيروس طروادة.
يعرف المهاجمون أن العديد من الأشخاص يقومون بتعطيل برامج مكافحة الفيروسات الخاصة بهم عند تنزيل البرامج المقرصنة وتثبيتها . لذلك، من خلال هذا الإجراء، يمنح الأشخاص المهاجمين الضوء الأخضر لتثبيت البرامج الضارة على أجهزة الكمبيوتر الخاصة بهم. يمكن تنزيل البرامج المكسورة من مصادر مختلفة، بما في ذلك مواقع التورنت ومواقع مشاركة الملفات وحتى مواقع تنزيل البرامج الشرعية. غالبًا ما تكون البرامج الضارة مخفية في أداة تثبيت البرنامج أو في أدوات إنشاء المفاتيح المستخدمة لتنشيط البرامج المقرصنة. وبصرف النظر عن مواقع القراصنة، فإن المصدر الرئيسي لهذه البرامج الضارة هو الإعلانات. في بعض الأحيان، يسمح مؤلفو البرامج المجانية عديمي الضمير عن غير قصد أو عن قصد باستخدام منتجاتهم كوسيلة للتسليم.
علامات الإصابة
تشمل العلامات الرئيسية للإصابة بالبرامج الوكيلة: ضعف الأداء، وتدهور سرعة الإنترنت، والتواصل المتكرر مع عناوين IP أو نطاقات غير معروفة. يجب عليك إزالة الملف القابل للتنفيذ " Digital Pulse " الموجود في " %AppData% " ومفتاح التسجيل في " HKCUSoftwareMicrosoftWindowsCurrentVersionRun "، بالإضافة إلى المهمة المجدولة المسماة " DigitalPulseUpdateTask ". هذا كل ما في الأمر عندما يتعلق الأمر بإزالة هذا التهديد، ولكننا نوصي بحماية نفسك من الحالات الأخرى أيضًا.
كيفية تجنب الوكلاء غير الواضحين والبرامج الضارة؟
ابتعد عن استخدام مواقع مشاركة برامج p2p. تعد أدوات تتبع التورنت أرضًا خصبة للبرامج الضارة. إذا كنت تعتقد أن مؤلفي إعادة التعبئة غير أنانيين، فأنت مخطئ. إذا كنت تريد تجنب الدفع لمطور التطبيق عمدًا مقابل عمله، فسيتعين عليك أن تدفع لمعيد التعبئة دون علمك. ومع ذلك، فإن السعر مرتفع جدًا ويمكن أن يتراوح من تسريب بياناتك إلى مسح جميع معلوماتك بشكل لا رجعة فيه. لذا، تجنب تنزيل البرامج المقرصنة وتشغيل الملفات التنفيذية من مصادر غير جديرة بالثقة .
تعد حماية خصوصيتك أمرًا ضروريًا لاستخدام الخوادم الوكيلة ذات السمعة الطيبة فقط والتي تقدم عروضًا جديرة بالثقة. فيما يلي بعض النصائح لاختيار خادم وكيل حسن السمعة:
الخاتمة
في عالم التهديدات السيبرانية المتغير باستمرار، تدفع العلاقة المتشابكة بين الابتكار والنوايا الخبيثة استراتيجيات جديدة من قبل الجهات الفاعلة الشريرة. إن ظهور البرامج الضارة التي تقدم تطبيقات الوكيل كاستثمار مربح، والذي تيسره البرامج التابعة، يسلط الضوء على الطبيعة الماكرة لتكتيكات الخصوم. يعمل هؤلاء الوكلاء، الذين يتم تثبيتهم سرًا عبر عروض مغرية أو برامج مخترقة، كقنوات لتحقيق مكاسب مالية غير مصرح بها. وكما أوضحنا، فإن هذا يؤكد أهمية البقاء يقظًا وقابلاً للتكيف في مواجهة التهديدات السيبرانية دائمة التطور.
المصادر: Gridinsoft ، Alien Labs