قامت شركة الأمن السيبراني Any.Run بتحليل شامل لكيفية استخدام بعض المتسللين لمحمل غير معروف يسمى PhantomLoader لإصابة أجهزة الكمبيوتر بالبرامج الضارة SSLoad، وهو فيروس قوي للغاية يتمتع بقدرة كبيرة على عدم ملاحظته من خلال أدوات التحكم والتحليل. يتم دمج هذين البرنامجين مع هجوم التصيد الاحتيالي لجعل الضحية يقوم بتنزيل ملف Word يتضمن تعليمات برمجية ضارة.
PhantomLoader هو محمل أو برنامج ضار ينتحل صفة ملف DLL أو exe.، ويتم تثبيته على شكل ملف يسمى "WINWORD.EXE" من برنامج مكافحة الفيروسات "360 Total Security"، وهو برنامج حقيقي، ولكن تم تصحيحه بحيث يمكن للفيروس استخراج البيانات منه. تتم إضافة أداة التحميل إلى ملف DLL شرعي عن طريق تطبيق تصحيح ثنائي على الملف واستخدام تقنيات التعديل الذاتي لتجنب الكشف، وفقًا لمحللي الأمن في Intezer.من Any.Run قاموا بتعريفه على النحو التالي: «ما يجعل PhantomLoader فريدًا هو أنه تمت إضافته ليكون جزءًا من DLL مشروعًا أو قابلاً للتنفيذ لبرنامج معروف عن طريق تطبيق تصحيح ثنائي على DLL أو قابل للتنفيذ وإضافة تقنية التعديل التلقائي. . يقوم الأخير بفك تشفير جزء من التعليمات البرمجية المضمنة، والتي يقوم SSLoad بعد ذلك بفك تشفيرها وتحميلها في الذاكرة.
ومن ناحية أخرى، فإن SSLoad عبارة عن برنامج ضار تمت برمجته ليكون لديه قدرة كبيرة على عدم ملاحظته على الجهاز المصاب. في الواقع، هذه البرامج الضارة قادرة على تعديل سلوكها إذا اكتشفت أن برامج أخرى، مثل برنامج مكافحة الفيروسات، حيث تقوم بإيقاف عملياتها أو تغييرها لتجنب اكتشافها.
- كيف يمكن أن يصيب جهازك ؟
أولاً، تدفع رسالة البريد الإلكتروني التصيدية الضحية إلى تنزيل مستند Word النصي الضار. إذا قام المستخدم بتنفيذه، فإنه يقوم بتثبيت ملفات PhantomLoader وSSLoad على الكمبيوتر.
بمجرد أن تتمكن البرامج الضارة من التثبيت، يبدأ SSLoad في جمع معلومات حول نظام التشغيل وتكوينه، من أجل التكيف مع البيئة والعمل بشكل مختلف لضمان النجاح في نظام التشغيل الخاص بالمستخدم. بمجرد الانتهاء من ذلك، يتصل SSLoad بخادم القيادة والتحكم (C2) الخاص بالمتسللين، باستخدام اتصال مشفر يمنع أدوات أمان الشبكة من اكتشاف الأنشطة المشبوهة.
بمجرد إنشاء اتصال مع خوادم المهاجمين، يمكنهم استخدام القناة لإرسال المزيد من البرامج الضارة أو لسرقة البيانات أو للقيام بأنشطة أخرى حسب اهتماماتهم على الكمبيوتر المصاب.
ويذكرنا تحليل هذه البرامج الضارة مرة أخرى بأهمية عدم تنزيل وتشغيل الملفات على جهاز الكمبيوتر الخاص بنا والتي تأتي من مصادر لا نعرفها، وكذلك الحاجة إلى برامج مكافحة الفيروسات لتتمكن من التعرف على هذه البرامج الضارة الجديدة ذات القدرة أن تمر دون أن يلاحظها أحد.
ليست هناك تعليقات:
إرسال تعليق