كشف تقرير حديث صادر عن Kaspersky أن هناك ثلاث سلالات مختلفة من البرامج الضارة أساليب خادعة لمحاصرة المستخدمين على الإنترنت، ووفقًا للتقرير تستخدم ثلاث سلالات من البرامج الضارة - DarkGate وEmotet وLokiBot "تكتيكات عدوى معقدة" لسرقة بيانات المستخدم.
وأوضحت شركة الأبحاث الأمنية كيف يتأثر مشهد الأمن السيبراني المتطور باستمرار "بتشفير DarkGate الفريد وعودة Emotet القوية ومآثر LokiBot".
إجهاد البرمجيات الخبيثة DarkGate
في يونيو 2023، اكتشف باحثو Kaspersky أداة تحميل جديدة تسمى DarkGate تحتوي على ميزات متعددة تتجاوز وظائف التنزيل النموذجية، وتتضمن بعض الإمكانات البارزة VNC المخفي ، واستبعاد Windows Defender، وسرقة محفوظات المستعرض ،وعكس الـ proxy ، وإدارة الملفات ، وسرقة الرمز المميز Discord.
وتتضمن عملية DarkGate سلسلة من أربع مراحل ، مصممة لتؤدي إلى تحميل البرامج الضارة نفسها، ويحتوي هذا المُحمل على طريقة فريدة لتشفير السلاسل بمفاتيح مخصصة وإصدار مخصص من تشفير Base64 ، والذي يستخدم مجموعة أحرف خاصة.
إجهاد البرامج الضارة Emotet
Emotet عبارة عن روبوتات عادت إلى الظهور بعد إزالتها في عام 2021، ويذكر التقرير أيضًا أنه تم تسجيل نشاط هذا البرنامج الضار مؤخرًا، وفي هذه الحملة الأخيرة ، يقوم المستخدمون الذين فتحوا ملفات OneNote الضارة عن غير قصد بتشغيل ملف VBScript مخفي ومقنع، ثم يحاول البرنامج النصي تنزيل الحمولة الضارة من مواقع الويب المختلفة حتى يتسلل بنجاح إلى النظام.
وبمجرد الدخول، يقوم Emotet بزرع DLL في الدليل المؤقت ثم يقوم بتنفيذه، ويحتوي ملف DLL هذا على إرشادات مخفية، أو كود قشرة، جنبًا إلى جنب مع وظائف الاستيراد المشفرة، و من خلال فك تشفير ملف معين من قسم الموارد الخاص به ، يكتسب Emotet اليد العليا ، وينفذ في النهاية حمولته الضارة.
سلالة البرامج الضارة LokiBot
اكتشفت Kaspersky أيضًا حملة تصيد احتيالي تستهدف شركات شحن البضائع التي سلمت LokiBot، إنه برنامج ضار لسرقة المعلومات تم تحديده لأول مرة في عام 2016، وقد تم تصميم LokiBot لسرقة بيانات الاعتماد من تطبيقات مختلفة، بما في ذلك المتصفحات وعملاء FTP.
وحملت رسائل البريد الإلكتروني هذه مرفقًا في مستند Excel مما دفع المستخدمين إلى تمكين وحدات الماكرو، و استغل المهاجمون ثغرة أمنية معروفة (CVE-2017-0199) في Microsoft Office ، مما أدى إلى تنزيل مستند RTF. استفاد مستند RTF هذا لاحقًا من ثغرة أمنية أخرى (CVE-2017-11882) لتقديم وتنفيذ برنامج LokiBot الضار.
تم أضافة تعليقك سوف يظهر بعد المراجعة