مع تكتيكات تخفي متطورة..
  • 06/11/2023
  •  https://dg.samrl.org/l?a5040 
    ظهور إصدار جديد من برنامج سرقة المعلومات الخبيث جابيتر
    الحقوق الرقمية |

    عادت نسخة محدثة من البرنامج الخبيث لسرقة المعلومات المعروف باسم Jupyter إلى الظهور مع "تغييرات بسيطة ولكنها مؤثرة" تهدف إلى إنشاء موطئ قدم مستمر خلسة على الأنظمة المخترقة.

    وقال باحثو VMware Carbon Black في تقرير تمت مشاركته مع The Hacker News: "اكتشف الفريق موجات جديدة من هجمات Jupyter Infostealer التي تستفيد من تعديلات أوامر PowerShell وتوقيعات المفاتيح الخاصة في محاولات لتمرير البرامج الضارة كملف موقع بشكل شرعي".

    يتمتع Jupyter Infostealer، المعروف أيضًا باسم Polazert وSolarMarker وYellow Cockatoo، بسجل حافل في الاستفادة من تكتيكات تحسين محركات البحث (SEO) والإعلانات الضارة كوسيلة وصول أولية لخداع المستخدمين الذين يبحثون عن برامج شائعة لتنزيلها من مواقع الويب المشبوهة.

    يأتي مزودًا بإمكانيات جمع بيانات الاعتماد بالإضافة إلى إنشاء اتصال مشفر للقيادة والتحكم (C2) لتصفية البيانات وتنفيذ أوامر عشوائية.

    تستخدم أحدث مجموعة من القطع الأثرية شهادات مختلفة للتوقيع على البرامج الضارة لإضفاء مظهر شرعي عليها، فقط لكي يقوم المثبتون المزيفون بتنشيط سلسلة العدوى عند الإطلاق.

    تم تصميم أدوات التثبيت لاستدعاء حمولة مؤقتة تستخدم بدورها PowerShell للاتصال بخادم بعيد وفك تشفير البرامج الضارة السارقة وإطلاقها في النهاية.

    ويأتي هذا التطوير في الوقت الذي تستمر فيه البرمجيات الخبيثة المعروضة للبيع في عالم الجرائم الإلكترونية في التطور باستخدام تكتيكات وتقنيات جديدة، مما يقلل بشكل فعال من حاجز دخول الجهات الفاعلة الأقل مهارة.

    يتضمن ذلك تحديثًا لـ Lumma Stealer ، والذي يتضمن الآن أداة تحميل وقدرة على إنشاء تصميم عشوائيًا لتحسين التشويش.

    وقال VMware: إن هذا ينقل البرامج الضارة من كونها نوعًا من السرقة إلى برامج ضارة أكثر خداعًا يمكنها تحميل هجمات المرحلة الثانية على ضحاياها . وأضاف: يوفر برنامج التحميل وسيلة لممثل التهديد لتصعيد هجومه من سرقة البيانات إلى أي شيء يصل إلى إصابة ضحاياه ببرامج الفدية.

    هناك عائلة أخرى من البرامج الضارة التي تلقت تحسينات مطردة وهي Mystic Stealer ، والتي أضافت أيضًا وظيفة أداة التحميل في الإصدارات الأخيرة لاستكمال قدراتها على سرقة المعلومات.

    وقالت Zscaler في تقرير أواخر الشهر الماضي، إن الكود يستمر في التطور وتوسيع قدرات سرقة البيانات وتم تحديث اتصالات الشبكة من بروتوكول ثنائي مخصص يستند إلى TCP إلى بروتوكول يستند إلى HTTP. وأضافت أن التعديلات الجديدة أدت إلى زيادة شعبية الجهات الفاعلة في مجال التهديد الإجرامي التي تستفيد من وظائف أداة التحميل لتوزيع عائلات البرامج الضارة الإضافية بما في ذلك RedLine و DarkGate وGCleaner.

    تتجلى الطبيعة المتطورة باستمرار لمثل هذه البرامج الضارة في ظهور برامج السرقة وأحصنة طروادة التي يمكن الوصول إليها عن بُعد مثل Akira Stealer و Millenium RAT ، والتي تأتي مزودة بميزات مختلفة لتسهيل سرقة البيانات.

    يأتي هذا الكشف أيضًا في الوقت الذي لوحظ فيه أن أدوات تحميل البرامج الضارة مثل PrivateLoader و Amadey تصيب آلاف الأجهزة بشبكة الروبوتات الوكيلة التي يطلق عليها اسم Socks5Systemz، والتي كانت موجودة منذ عام 2016.

    وقالت شركة الأمن السيبراني Bitsight، التي كشفت عن تفاصيل الخدمة الأسبوع الماضي، إنها حددت ما لا يقل عن 53 خادمًا مرتبطًا بشبكة الروبوتات الموزعة عبر فرنسا وبلغاريا وهولندا والسويد.

    الهدف النهائي للحملة هو تحويل الأجهزة المصابة إلى وكلاء قادرين على إعادة توجيه حركة المرور إلى جهات فاعلة أخرى، سواء كانت مشروعة أو غير شرعية، كطبقة إضافية من عدم الكشف عن هويتها. ويشتبه في أن الجهات الفاعلة في التهديد من أصل روسي، نظرا لقلة الإصابات في البلاد.

    وقالت Bitsight: "تتيح خدمة الوكيل للعملاء اختيار اشتراك يتراوح بين 1 دولار أمريكي إلى 4000 دولار أمريكي، يُدفع بالكامل باستخدام العملة المشفرة". "استنادًا إلى تحليل القياس عن بعد للشبكة، تشير التقديرات إلى أن شبكة الروبوتات هذه تحتوي على ما يقرب من 10000 نظام مصاب مع انتشار الضحايا في جميع أنحاء العالم."

    المصدر: The Hacker News


  •  
    جميع الحقوق محفوظة لمنظمة سام © 2023، تصميم وتطوير