فيما يلي سلالة جديدة من البرامج الضارة التي تقوم بجولات على الإنترنت والتي أصابت بالفعل الآلاف من أجهزة الكمبيوتر في جميع أنحاء العالم وعلى الأرجح ، لن يتمكن برنامج مكافحة الفيروسات من اكتشافه.
لماذا ا؟ هذا لأنه ، أولاً ، إنه برنامج ضار غير خاضع للتقدم وثانيًا ، فهو لا يدعم سوى أدوات النظام المضمنة الشرعية وأدوات الطرف الثالث لتوسيع وظائفه وتنازل أجهزة الكمبيوتر ، بدلاً من استخدام أي جزء من التعليمات البرمجية الضارة.
تعتبر تقنية إحضار أدواتها الشرعية الخاصة فعالة ونادراً ما يتم رصدها ، مما يساعد المهاجمين على مزج أنشطتهم الضارة مع نشاط الشبكة أو مهام إدارة النظام المعتادة مع ترك عدد أقل من آثار الأقدام.
يكتشف باحثو الأمن السيبراني في Microsoft و Cisco Talos بشكل مستقل أن البرمجيات الضارة – التي يطلق عليها اسم “Nodersok” و “Divergent” – يتم توزيعها بشكل أساسي عبر إعلانات ضارة عبر الإنترنت وإصابة المستخدمين باستخدام هجوم التنزيل من محرك أقراص.
تم اكتشاف هذه البرامج الضارة لأول مرة في منتصف شهر يوليو من هذا العام لتحويل أجهزة الكمبيوتر التي تعمل بنظام Windows المصاب إلى وكلاء ، والتي وفقًا لما ذكرته شركة Microsoft ، يمكن للمهاجمين استخدامها بعد ذلك كتابع لإخفاء حركة المرور الضارة ؛ بينما تعتقد Cisco Talos أن الوكلاء يستخدمون في عمليات الاحتيال على النقر لتوليد إيرادات للمهاجمين.
عملية العدوى متعددة المراحل تتضمن أدوات شرعية
تبدأ الإصابة عندما تسقط الإعلانات الخبيثة ملف تطبيق HTML (HTA) على أجهزة كمبيوتر المستخدمين ، والتي تنفذ عند النقر فوقها سلسلة من حمولات JavaScript والبرامج النصية PowerShell التي تقوم في النهاية بتنزيل وتثبيت البرامج الضارة Nodersok.
“جميع الوظائف ذات الصلة موجودة في البرامج النصية ورموز القشرة التي تأتي دائمًا مشفرة ، ويتم فك تشفيرها وتشغيلها في الذاكرة فقط. لا يمكن كتابة أي خبيثة قابلة للتنفيذ على القرص ، “تشرح Microsoft.
كما هو موضح في الرسم التوضيحي ، يتصل كود JavaScript بخدمات Cloud السارية ونطاقات المشروع لتنزيل وتشغيل البرامج النصية للمرحلة الثانية والمكونات المشفرة الإضافية ، بما في ذلك:
البرامج النصية PowerShell – محاولة لتعطيل Windows Defender antivirus وتحديث Windows.
ثنائي Shellcode – محاولات تصعيد الامتيازات باستخدام واجهة COM رفع تلقائي.
Node.exe – تطبيق Windows لإطار عمل Node.js الشهير ، الموثوق به وله توقيع رقمي صالح ، ينفذ جافا سكريبت الخبيث للعمل في سياق عملية موثوق بها.
WinDivert (Windows Packet Divert) – أداة مساعدة قوية وقوية لالتقاط ومعالجة حزم الشبكة التي تستخدمها البرامج الضارة لتصفية وتعديل بعض الحزم الصادرة.
أخيرًا ، تسقط البرامج الضارة حمولة جافا سكريبت النهائية المكتوبة لإطار عمل Node.js الذي يحول النظام المشبوه إلى وكيل.
“هذا يخلص من العدوى ، التي في نهاية المطاف عامل تصفية حزم الشبكة نشطة ، والجهاز يعمل كزومبي وكيل محتمل” ، تشرح Microsoft.
“عندما يتحول الجهاز إلى وكيل ، يمكن استخدامه من قبل المهاجمين كمرحل للوصول إلى كيانات الشبكة الأخرى (مواقع الويب ، وخوادم C&C ، والأجهزة المهشمة ، وما إلى ذلك) ، والتي يمكن أن تسمح لهم بأداء أنشطة ضارة خلسة.”
من ناحية أخرى ، خلص خبراء في Cisco Talos إلى أن المهاجمين يستخدمون هذا المكون الوكيل لقيادة الأنظمة المصابة للانتقال إلى صفحات الويب التعسفية لتحقيق الدخل والنقر على أغراض الاحتيال.
Nodersok المصابة الآلاف من مستخدمي ويندوز
وفقًا لما ذكرته شركة Microsoft ، فإن البرمجيات الضارة لـ Nodersok أصابت بالفعل آلاف الأجهزة في الأسابيع القليلة الماضية ، مع وجود معظم الأهداف في الولايات المتحدة وأوروبا.
بينما تركز البرامج الضارة بشكل أساسي على استهداف مستخدمي Windows المنزليين ، فقد رأى الباحثون حوالي 3٪ من الهجمات التي تستهدف المؤسسات من قطاعات الصناعة ، بما في ذلك التعليم والرعاية الصحية والتمويل وتجارة التجزئة والخدمات التجارية والمهنية.
نظرًا لأن حملة البرمجيات الخبيثة توظف تقنيات متقدّمة خادعة وتعتمد على البنية التحتية للشبكة بعيد المنال من خلال الاستفادة من أدوات شرعية ، حلقت حملة الهجوم تحت الرادار ، مما جعل من الصعب على برامج مكافحة الفيروسات التقليدية القائمة على التوقيع اكتشافها.
“إذا استثنينا جميع الملفات النظيفة والشرعية التي استفاد منها الهجوم ، فكل ما تبقى هو ملف HTA الأولي ، والحمولة النهائية المستندة إلى Node.js ، ومجموعة من الملفات المشفرة. تقول مايكروسوفت إن التواقيع التقليدية القائمة على الملفات ليست كافية لمواجهة التهديدات المعقدة مثل هذا.
ومع ذلك ، تقول الشركة إن “سلوك البرامج الضارة أنتج بصمة واضحة تبرز بوضوح لأي شخص يعرف مكانه.”
في تموز (يوليو) من هذا العام ، اكتشفت Microsoft أيضًا حملة أخرى ضارة غير خبيثة ، وأطلق عليها اسم Astaroth ، تم تصميمها لسرقة المعلومات الحساسة للمستخدمين ، دون إسقاط أي ملف قابل للتنفيذ على القرص أو تثبيت أي برنامج على جهاز الضحية.
قالت Microsoft إن حماية الجيل التالي من Windows Defender ATP تكتشف هجمات البرمجيات الخبيثة التي لا مبرر لها في كل مرحلة من مراحل الإصابة من خلال اكتشاف السلوكيات الشاذة والخبيثة ، مثل تنفيذ البرامج النصية والأدوات.
