في عام 2008 ، ظهر برنامج Qakbot ، وهو برنامج ضار هاجم الشركات والمستخدمين لسرقة المعلومات من خلال استغلال ثغرة أمنية في الويندوز . لحسن الحظ ، تمكنت التطورات في مجال الأمن السيبراني وجهود شركة مايكروسوفت من إيقاف التهديد لفترة من الوقت ، ولكن ليس إلى الأبد. وفقًا لباحثي Cisco Talos ، تم تحديث Qakbot مؤخرًا وعاد من جديد.
قامت البرنامج الضار بتجديد نظامه ، بحيث يمكن البقاء على جهاز كمبيوتر دون أن يتم اكتشافه من قبل المستخدمين أو أنظمة وبرامج الحماية . يتم دعم أحدث إصدار من Qakbot بواسطة dropper ، وهو برنامج لتثبيت التعليمات البرمجية الضارة من البرنامج نفسه أو من خوادم خارجية ، مما يجعله لا يلاحظه أحد برامج مكافحة الفيروسات.
في حالة dropper الخاص ب Qakbot ، يمكنه الاتصال بعدة عناوين إنترنت حيث يتم استضافة البرامج الضارة التي تم إنشاؤها في JavaScript. من المهم الإشارة إلى أن العناوين المذكورة أعلاه لا تنتمي دائمًا إلى الهاكرز ؛ لكن تم سرقة بعضها ليتم استخدامها لأغراض سرقة البيانات.
بمجرد تثبيت التعليمات البرمجية الضارة على الكمبيوتر ، يبدأ في طلب إرشادات التنفيذ الخاصة به ، والتي يتم استضافتها على الخادم الخارجي. تحتوي هذه التعليمات على تشفير XOR ، مع تجنب إمكانية معرفة هدفها الحقيقي في حالة اعتراضه.
عندما تنتهي عملية التنفيذ ويتضمن البرنامج الضار تعليماتها ، يبدأ في سرقة المعلومات في الخلفية. وفقًا للباحثين ، يبحث مجرمو الإنترنت عن بيانات خاصة تسمح لهم ، على سبيل المثال ، بالوصول إلى الحسابات المصرفية. قامت Cisco Talos بمشاركة قائمة من المجالات المتضمنة في البرامج الضارة ، والتي يمكن أن تساعد في منع الهجمات.
المشكلة الكبيرة هي أنه سيكون من الصعب علينا أن نرى قريبًا حلًا لتهديد برنامج Qakbot الضار ، نظرًا لأن مستوى تطوره يسمح له بالاستمرار في التسبب في الضرر حتى عند إزالة ملفاته الرئيسية من أجهزة الكمبيوتر.
قامت البرنامج الضار بتجديد نظامه ، بحيث يمكن البقاء على جهاز كمبيوتر دون أن يتم اكتشافه من قبل المستخدمين أو أنظمة وبرامج الحماية . يتم دعم أحدث إصدار من Qakbot بواسطة dropper ، وهو برنامج لتثبيت التعليمات البرمجية الضارة من البرنامج نفسه أو من خوادم خارجية ، مما يجعله لا يلاحظه أحد برامج مكافحة الفيروسات.
في حالة dropper الخاص ب Qakbot ، يمكنه الاتصال بعدة عناوين إنترنت حيث يتم استضافة البرامج الضارة التي تم إنشاؤها في JavaScript. من المهم الإشارة إلى أن العناوين المذكورة أعلاه لا تنتمي دائمًا إلى الهاكرز ؛ لكن تم سرقة بعضها ليتم استخدامها لأغراض سرقة البيانات.
بمجرد تثبيت التعليمات البرمجية الضارة على الكمبيوتر ، يبدأ في طلب إرشادات التنفيذ الخاصة به ، والتي يتم استضافتها على الخادم الخارجي. تحتوي هذه التعليمات على تشفير XOR ، مع تجنب إمكانية معرفة هدفها الحقيقي في حالة اعتراضه.
عندما تنتهي عملية التنفيذ ويتضمن البرنامج الضار تعليماتها ، يبدأ في سرقة المعلومات في الخلفية. وفقًا للباحثين ، يبحث مجرمو الإنترنت عن بيانات خاصة تسمح لهم ، على سبيل المثال ، بالوصول إلى الحسابات المصرفية. قامت Cisco Talos بمشاركة قائمة من المجالات المتضمنة في البرامج الضارة ، والتي يمكن أن تساعد في منع الهجمات.
المشكلة الكبيرة هي أنه سيكون من الصعب علينا أن نرى قريبًا حلًا لتهديد برنامج Qakbot الضار ، نظرًا لأن مستوى تطوره يسمح له بالاستمرار في التسبب في الضرر حتى عند إزالة ملفاته الرئيسية من أجهزة الكمبيوتر.
ليست هناك تعليقات:
إرسال تعليق