الخبيثة الخبيثة يختبئ وراء حركة الفأر ، ويقول الخبراء

كشف باحثون من مورد الأمان FireEye عن تهديد مستمر متقدم جديد (APT) يستخدم تقنيات متعددة للتهرب من الكشف ، بما في ذلك مراقبة نقرات الماوس ، تحديد التفاعل البشري النشط مع جهاز الكمبيوتر المصاب.

يُطلق عليه Trojan.APT.BaneChant ، يتم توزيع البرامج الضارة عبر مستند Word تم تلاعبه بآخر تم إرساله أثناء هجمات البريد الإلكتروني المستهدفة. ويترجم اسم الوثيقة إلى "الجهاد الإسلامي. doc."

"نشك في أن هذه الوثيقة المسلحة استخدمت لاستهداف حكومات منطقة الشرق الأوسط وآسيا الوسطى" ، هذا ما قاله الباحث في مجلة "فايناي" تشونغ رونغ هوا يوم الاثنين الماضي في مدونة.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

الهجوم متعدد المراحل

يعمل الهجوم في مراحل متعددة. يقوم المستند الضار بتنزيل وتنفيذ أحد المكونات التي تحاول تحديد ما إذا كانت بيئة التشغيل هي بيئة ظاهرية ، مثل وضع الحماية من الفيروسات أو نظام تحليل البرامج الضارة الآلي ، عن طريق الانتظار لمعرفة ما إذا كان هناك أي نشاط للماوس قبل بدء مرحلة الهجوم الثانية.

وقال رونغ هوا إن مراقبة النقر بالماوس ليست طريقة جديدة للتهرب من الكشف ، ولكن البرامج الضارة التي تستخدمها في الماضي كانت تتحقق عمومًا من نقرة واحدة. وينتظر BaneChant ما لا يقل عن ثلاث نقرات بالماوس قبل الشروع في فك تشفير عنوان URL وتنزيل برنامج خلفي يتنكر على شكل ملف صورة.

كما تستخدم هذه البرمجيات الخبيثة أساليب أخرى للتهرب من الكشف. على سبيل المثال ، أثناء المرحلة الأولى من الهجوم ، يقوم المستند الضار بتنزيل مكون dropper من عنوان URL خاص بـ ow.ly. Ow.ly ليس نطاقًا خبيثًا ، ولكنه عبارة عن خدمة تقصير لعنوان URL.

> الأساس المنطقي وراء استخدام هذه الخدمة هو تجاوز خدمات القائمة السوداء لعناوين URL النشطة على الكمبيوتر المستهدف أو شبكتها ، على حد قول رونغ هوا. (راجع أيضًا "Spammers abuse.gov URL shortener service in work-at-home scams."

وبالمثل ، أثناء المرحلة الثانية من الهجوم ، يتم تنزيل الملف jpg. الضار من عنوان URL تم إنشاؤه باستخدام ديناميكية No-IP خدمة نظام أسماء المجالات (DNS).

بعد تحميلها بواسطة المكون الأول ، يسقط الملف.jpg نسخة من نفسها تسمى GoogleUpdate.exe في المجلد "C: ProgramData Google2 \". كما يقوم أيضًا بإنشاء ارتباط إلى الملف في مجلد بدء تشغيل المستخدم لضمان تنفيذه بعد كل إعادة تشغيل الكمبيوتر.

هذه محاولة لخداع المستخدمين للاعتقاد بأن الملف جزء من خدمة تحديث Google ، وهو برنامج شرعي يتم تثبيته بشكل طبيعي تحت عنوان "C: Program Files Google Update \" ، قال رونغ هوا.

يقوم برنامج الباب الخلفي بجمع معلومات النظام وتحميله مرة أخرى إلى خادم القيادة والتحكم ، كما أنه يدعم عدة أوامر بما في ذلك واحدة لتنزيل وتنفيذ ملفات إضافية على أجهزة الكمبيوتر المصابة.

مع تقدم التقنيات الدفاعية ، والبرمجيات الخبيثة أيضا ه فولفس ، وقال رونغ هوا. في هذه الحالة ، استخدمت البرمجيات الخبيثة عددًا من الحيل ، بما في ذلك التهرب من تحليل وضع الحماية عن طريق الكشف عن السلوك البشري ، والتهرب من تقنية استخراج البيانات الثنائية على مستوى الشبكة عن طريق تنفيذ تشفير XOR متعدد البتات للملفات القابلة للتنفيذ ، والتنكر كعملية شرعية ، والتهرب من تحليل الطب الشرعي باستخدام تم تحميل الشفرة الضارة مباشرة في الذاكرة ومنع القائمة السوداء للنطاق التلقائي باستخدام إعادة التوجيه عبر تقصير URL وخدمات DNS الديناميكية ، على حد قوله.