(المصدر – Shutterstock)
يشكل مجرمو الإنترنت تهديدًا للمجتمع والمنظمات وهم يواصلون البحث عن طرق جديدة للتسلل إلى ضحاياهم. في العامين الماضيين منذ بداية جائحة COVID-19 ، كان مجرمو الإنترنت يهرعون بحثًا عن نقاط الضعف ، لا سيما أولئك الذين يعملون عن بُعد لشن هجماتهم.
يستهدف بعض مجرمي الإنترنت ضحاياهم من خلال مواقع التصيد الاحتيالي المختلفة. ويشمل ذلك تقديم عناصر ترويجية وعناصر أخرى وسرقة أموال الضحايا وبيانات اعتمادهم بعد تلقي المعلومات ذات الصلة.
الآن ، اكتشف باحثو CloudSEK برامج ضارة متعددة المراحل تستهدف مستخدمي Windows وسرقة بياناتهم من المتصفحات ومحافظ التشفير والمزيد. تعد البرامج الضارة جزءًا من حملة تستخدم مجالات وهمية لاستضافة الحمولة التي يتم نشرها على جهاز الضحية عبر ملف iso يتنكر كترقية Windows 11.
Windows 11 هو أحدث نظام تشغيل رئيسي من Microsoft Windows والذي تم إصداره رسميًا في أكتوبر 2021. حتى خلال فترة الإصدار التجريبي ، كان مجرمو الإنترنت مستهدفين بالفعل من خلال تقديم ترقيات Windows 11. ومؤخرًا ، تم اكتشاف حملة برمجيات خبيثة تحت عنوان Windows 11 بواسطة شركة أخرى للأمن السيبراني.
علاوة على ذلك ، ليست هذه هي المرة الأولى التي تتنكر فيها البرامج الضارة على أنها ترقية لنظام Windows وتستهدف الضحايا. في السابق ، أصدرت Microsoft نصيحة أمنية بشأن مجرمي الإنترنت الذين يستهدفون الضحايا عبر رسائل البريد الإلكتروني التي تزعم أن لديهم ترقية إلى Windows 10. يحتوي المرفق في رسائل البريد الإلكتروني على برامج الفدية والبرامج الضارة الأخرى التي يتم تنشيطها بمجرد فتح الضحية للمرفق.
تم تفكيك أحدث البرمجيات الخبيثة السرقة التي اكتشفها باحثو CloudSEK منذ ذلك الحين. قامت CloudSEK بإخفاء البرامج الضارة وإجراء هندسة عكسية لعملية الإصابة بأكملها من أجل فهم أفضل لتثبيتها وحقن الحمولة. تم إنشاء البرنامج الضار باستخدام لغة برمجة دلفي ويتم تشفير البرنامج الثنائي المستخدم في Visual Basic قبل تحويله إلى ملفات تنفيذية. استخدم المهاجم برنامج Inno Setup 6.1.0 كمثبت لهذا المُحمل. يتم استخدام مُعتِم الدُفعات مفتوح المصدر لإخفاء التعليمات البرمجية الضارة.
المجال الخبيث الذي ينشر البرمجيات الخبيثة. (المصدر – CloudSEK)
باحثو CloudSEK ، أثناء البحث في الإنترنت عن التهديدات السيبرانية في الوقت الحقيقي ، اكتشف XVigil مجالًا مزيفًا يُزعم أنه يستضيف تحديث Windows 11. بعد مزيد من التحليل ، وجد باحثو CloudSEK أن المجال قد تم استخدامه لنشر البرامج الضارة الخفية على أجهزة المستخدمين.
أظهرت النتائج الرئيسية أن الجهات الفاعلة في التهديد استخدمت التسمم بـ SEO لجذب المستخدمين إلى موقع ترقية Windows 11 مزيف. يخدع الموقع المستخدمين لتنزيل ملف ضار يتنكر على أنه مستوى ترقية Windows 11. هذا يطلق برامج ضارة متعددة المراحل على النظام الهدف. ثم يقوم البرنامج الخبيث اللصوص التشفير بسرقة بيانات المستخدم. يتضمن ذلك جميع المتصفحات الرئيسية على نظامهم ، بما في ذلك محتويات محافظ التشفير والبيانات الأخرى.
قال الباحثون: “يتم تشفير البيانات المسروقة وإرسالها إلى خادم C2 يستضيفه المهاجم (على الأرجح منشئ البرنامج الضار). تمكن باحثونا من التقاط اتصالات الشبكة بين النظام المخترق وخادم C2”. CloudSEK.
مع استمرار ممارسة العمل الهجين عن بُعد في بعض البلدان وعودة الموظفين أيضًا إلى المكتب للعمل ، سيسعى العديد من الموظفين إلى ترقية نظام Windows الخاص بهم لضمان الحد الأدنى من التعطيل في العمل ومواكبة آخر التحديثات. بينما يمكن للمؤسسات الإشراف على الترقيات في المكتب ، فإن العاملين عن بُعد والعاملين الهجينين الذين يستخدمون الأجهزة الشخصية للعمل قد لا يكونون آمنين كما ينبغي.
وفقًا لـ David Weston ، نائب الرئيس ، Enterprise and OS Security في Microsoft ، في عام 2021 ، منعت الحماية المضمنة في Windows و Azure و Microsoft 365 و Microsoft Defender لـ Office 365 أكثر من 9.6 مليار تهديد للبرامج الضارة وأكثر من 35.7 مليار من رسائل التصيد الاحتيالي ورسائل البريد الإلكتروني الضارة الأخرى و 25.6 مليار محاولة لاختطاف عملاء المؤسسات عن طريق الإجبار الغاشم على كلمات المرور المسروقة. هذا ما يزيد عن 800 هجوم لكلمة المرور في الثانية.
“في إصدار مستقبلي من Windows 11 ، سترى تحديثات أمان مهمة تضيف المزيد من الحماية من الشريحة إلى السحابة من خلال الجمع بين الأجهزة والبرامج الحديثة. قامت Microsoft باستثمارات رائدة للمساعدة في تأمين Windows لعملائنا باستخدام ابتكارات أمان الأجهزة مثل Secure Core علق ويستون.
بينما قد تضيف Microsoft المزيد من ميزات الأمان ، فإن الحقيقة هي أن الموظفين لا يزالون عرضة للهجمات الإلكترونية مثل تلك التي كشفها CloudSEK. يحتاج المستخدمون إلى توخي المزيد من اليقظة عند السعي إلى ترقية برامجهم وأنظمة التشغيل الخاصة بهم ، بينما تحتاج الشركات أيضًا إلى التأكد من أن موظفيها ، وخاصة أولئك الذين يعملون عن بُعد وفي السيارات الهجينة ، مؤمنون جيدًا عند العمل وترقية برامجهم وأجهزتهم.
