أصدر خبراء أمنيون تحذيرًا لمستخدمي Google Chrome بعد اكتشاف هجوم إلكتروني يستهدف المتصفح، إلى جانب مايكروسوفتتطبيقات Word وOneDrive.
استخدم الهجوم رسائل خطأ زائفة لخداع المستخدمين لتثبيت البرامج الضارة بأنفسهم “كإصلاح”.
يرسل المتسللون إشعارات عبر البريد الإلكتروني بالإضافة إلى النوافذ المنبثقة لمواقع الويب، والتي تدعي أن المستخدم قد واجه خللاً في البرنامج ويحتاج إلى تحديث سريع.
لاكتشاف وهمية، نصح الخبراء المستخدمين بالحذر من الرسائل التي تدعي أن الإصلاح سيتطلب منهم تثبيت “شهادة جذر” عن طريق نسخ ولصق التعليمات البرمجية الأولية.
في حين أن الهجوم الإلكتروني قادر على سرقة جميع أنواع البيانات الرقمية الخاصة، إلا أن بعض البرامج الضارة الجديدة تبدو مهيأة لسرقة العملات المشفرة، مثل البيتكوين.
يمتلك المتسللون أسلوبًا جديدًا لتسلل البرامج الضارة إلى جهاز الكمبيوتر الخاص بك، وهو تحديثات زائفة لمتصفح Google Chrome، بالإضافة إلى منتجات Word وOneDrive من Microsoft
تم الكشف عن تكتيك القرصنة الخبيث الجديد من قبل شركة الأمن السيبراني غزيرة الإنتاج Proofpoint، التي تأسست في عام 2002 على يد كبير مسؤولي التكنولوجيا السابق في Netscape.
وحذروا من أن النمط الجديد لـ “رسائل الخطأ المزيفة” “ذكي ويزعم أنه إشعار رسمي قادم من نظام التشغيل”.
يتضمن المخطط مطالبات رسمية على ما يبدو من عمالقة التكنولوجيا، جوجل ومايكروسوفت، تطلب من المستخدمين فتح ما يعرف باسم “قشرة سطر الأوامر”، وتحديدًا إصدار مايكروسوفت لأداة سطر الأوامر لنظام التشغيل Windows، PowerShell.
أدوات سطر الأوامر، بما في ذلك Windows PowerShell، هي برامج مصممة للمبرمجين الأكثر خبرة لبرمجة التعليمات البرمجية الأساسية لجهاز الكمبيوتر الخاص بهم مباشرة.
تشجع رسائل الخطأ المزيفة للمتسللين المستخدمين غير المتعمدين على نسخ التعليمات البرمجية الأولية ولصقها ثم تثبيتها كـ “إصلاح” عن طريق تشغيل أو “تنفيذ” تلك التعليمات البرمجية في PowerShell.
لقد رأى خبراء الأمن السيبراني فقط أن هؤلاء المتسللين ينشرون مخطط “الإصلاح المزيف” المحدد هذا عبر PowerShell، لذا يجب أن يكون بمقدور مستخدمي Apple iOS الراحة في الوقت الحالي.
يتضمن المخطط مطالبات رسمية على ما يبدو – مثل تلك الموضحة في الصورة أعلاه – تطلب من المستخدمين فتح ما يعرف باسم “صدفة سطر الأوامر”، وهو شكل من أشكال البرامج التي تسمح للمبرمجين الأكثر خبرة ببرمجة أجهزة الكمبيوتر الخاصة بهم بشكل مباشر أكثر، وتثبيت رمز “الإصلاح” '
وأشارت الشركة في منشورها الاستشاري بشأن التهديد السيبراني القائم على PowerShell إلى أن “سلسلة الهجوم هذه تتطلب تفاعلًا كبيرًا من قبل المستخدم لتكون ناجحة”.
وأشاروا إلى أنه “يوفر أيضًا المشكلة والحل، بحيث يمكن للمشاهد اتخاذ إجراء سريع دون التوقف للنظر في المخاطر”.
وقالوا إن أي شخص أو مطالبة تطلب منك تنفيذ تعليمات برمجية أولية في محطة أو غلاف، يجب التعامل معه بحذر وتشكك شديد.
في جميع الحالات، أنشأ هؤلاء المتسللون رسائل خطأ مزيفة عبر عيوب أو نقاط ضعف متأصلة في استخدام JavaScript في مرفقات البريد الإلكتروني بتنسيق HTML أو عبر مواقع الويب المخترقة بالكامل عبر الإنترنت.
بينما تم توثيق أخطاء Google Chrome وMicrosoft Word وOneDrive المزيفة، حذر محققو Proofpoint من أن هذا النوع الأساسي من الاختراق يمكن أن يشكل طلبات تحديث برامج موثوقة أخرى في المستقبل.
وأوضح خبراء الأمن السيبراني أنه في جميع الحالات، أنشأ المتسللون رسائل الخطأ المزيفة الخاصة بهم عبر عيوب أو نقاط ضعف باستخدام جافا سكريبت في مرفقات البريد الإلكتروني بتنسيق HTML أو عبر مواقع الويب المخترقة. أعلاه مثال على الرسائل المزيفة، المتخفية هذه المرة في شكل مطالبة لبرنامج MS Word
على الرغم من توثيق أخطاء Google Chrome وMicrosoft Word وOneDrive المزيفة (المثال الموضح أعلاه) الآن، حذر محققو Proofpoint من أن هذا النوع الأساسي من الاختراق يمكن أن يشكل طلبات تحديث برامج موثوقة أخرى في المستقبل
قدمت قطعتان مثيرتان للاهتمام من البرامج الضارة فكرة عن نوايا المتسللين، وفقًا لـ Proofpoint.
قام أحدهم، يُدعى “ma.exe”، بتنزيل وتشغيل برنامج لتعدين العملات المشفرة يسمى XMRig بتكوين محدد. أما الإصدار الثاني، وهو “cl.exe”، فقد تم تصميمه بذكاء ليحل محل عناوين العملات المشفرة في حافظة “القص واللصق” الخاصة بالمستخدم.
وقال فريق Proofpoint في جوهره، إن برنامج البرمجيات الخبيثة الثاني كان يهدف عن طريق الخطأ إلى التسبب في قيام الضحايا المطمئنين “بنقل العملة المشفرة إلى عنوان يسيطر عليه ممثل التهديد بدلاً من العنوان المقصود عند إجراء عمليات النقل”.
إذا كان المستخدم يقوم بنسخ ولصق عنوان محفظة عملة مشفرة لإرسال أمواله الرقمية، فإن هذه البرامج الضارة ستستبدل هذا العنوان المنسوخ بهدوء بعنوان محفظتها الوهمية.
عندما ينجح الاختراق، يفشل المستخدم في ملاحظة التبديل ويقوم ببساطة بإرسال أموال العملة المشفرة إلى المحفظة الوهمية المجهولة الخاصة بالمتسلل.
في أبريل، رأى خبراء الأمن هذه الطريقة الجديدة قيد الاستخدام جنبًا إلى جنب مع مجموعة ClearFake لأدوات القرصنة، والتي استهدفت مستخدمي Apple في نوفمبر الماضي بما تم وصفه بأنه فيروس “ضربة واحدة”. يبدو أن الاختراقات الجديدة مهيأة لسرقة العملات المشفرة الخاصة بالمستخدمين
في أبريل، رأى خبراء الأمن هذه الطريقة الجديدة قيد الاستخدام جنبًا إلى جنب مع مجموعة ClearFake لأدوات القرصنة، والتي استهدفت مستخدمي Apple في نوفمبر الماضي بما تم وصفه بأنه فيروس “ضربة واحدة”.
يعمل البرنامج النصي PowerShell الخبيث الخاص بالمتسلل بمثابة حصان طروادة الذي يسمح بتنزيل المزيد من التعليمات البرمجية الضارة على نظام الضحية.
يُقال إنه يقوم أولاً بإجراء تشخيصات مختلفة للتأكد من أن الجهاز المضيف هو هدف صالح.
كاختبار رئيسي، ستحصل إحدى نصوص PowerShell البرمجية الضارة على درجات حرارة النظام من كمبيوتر الضحية لاكتشاف ما إذا كانت البرامج الضارة تعمل على كمبيوتر حقيقي، أو ما يسمى بـ “صندوق الحماية” – وهو جهاز كمبيوتر افتراضي مسور يستخدم للتعامل مع وتحليل البرامج التي يحتمل أن تكون خطرة.
إذا لم يتم إرجاع أي بيانات لدرجة الحرارة إلى البرنامج الضار، فسيتم تفسير هذه الحقيقة على أنها إشارة تكشف أن كود المتسلل تم تشغيله بالفعل داخل بيئة افتراضية أو وضع الحماية.
ستخرج البرامج الضارة بعد ذلك وتوقف تشغيلها، مما يحمي التعليمات البرمجية الضارة اللاحقة والأكثر تفصيلاً للمتسللين من الوقوع في وضع الحماية لدراستها من قبل الخبراء.
نصح فريق Proofpoint المستخدمين بتوخي الحذر بشأن نسخ ولصق التعليمات البرمجية أو النصوص الأخرى من المطالبات إما على مواقع الويب أو التنبيهات التي يُزعم أنها تأتي من تطبيقات برمجية موثوقة.
وقالوا: “إن برامج مكافحة الفيروسات وEDRs (برنامج مراقبة نقطة النهاية والاستجابة) لديها مشكلات في فحص محتوى الحافظة”.
كما دعت شركة الأمن السيبراني الشركات إلى إجراء تدريب حول هذه المشكلة والتركيز على “الكشف والحظر” الذي من شأنه أن يمنع ظهور هذه المطالبات وما شابهها من “الإصلاحات الزائفة” في المقام الأول.