30 ألف جهاز كمبيوتر تتعرض للاختراق يومياً

0 9

حذرت مايكروسوفت من حملة مستمرة تدفع ببرامج ضارة جديدة لاختطاف المتصفح وسرقة بيانات الاعتماد يطلق عليها Adrozek والتي في ذروتها كانت قادرة على الاستيلاء على أكثر من 30 ألف جهاز يوميًا.

على أجهزة الكمبيوتر المخترقة، يقوم Adrozek بحقن الإعلانات في صفحات نتائج محرك البحث ويمكنه اختراق Microsoft Edge وGoogle Chrome وYandex Browser وMozilla Firefox.

تستخدم البرامج الضارة نصوصًا خبيثة يتم تنزيلها من الخوادم التي يتحكم فيها مشغلوها لإدخال الإعلانات بعد تغيير إعدادات ومكونات متصفح الويب الذي تم الاستيلاء عليه.

قال فريق Microsoft 365 Defender Research Team: يُنصح المستخدمون النهائيون الذين يجدون هذا التهديد على أجهزتهم بإعادة تثبيت متصفحاتهم”.

“إذا لم يتم اكتشافه وحظره، يضيف Adrozek ملحقات المستعرض، ويعدل DLL معينًا لكل متصفح هدف، ويغير إعدادات المتصفح لإدراج إعلانات إضافية غير مصرح بها في صفحات الويب، وغالبًا ما تكون أعلى الإعلانات الشرعية من محركات البحث.”

على الرغم من أن Microsoft لم تعثر بعد على دليل على استخدام Adrozek لدفع البرامج الضارة إلى أجهزة كمبيوتر ضحاياها من خلال الإعلانات المحقونة، يمكن أن يحدث هذا في أي وقت.

وأضافت مايكروسوفت: “إن مهاجمي Adrozek يعملون بالطريقة التي تعمل بها معدِّلات المتصفح الأخرى، أي الكسب من خلال برامج الإعلانات التابعة، والتي تدفع مقابل زيارات الإحالة إلى مواقع ويب معينة”.

“التأثير المقصود هو أن يقوم المستخدمون، الذين يبحثون عن كلمات رئيسية معينة، بالنقر دون قصد على هذه الإعلانات المدرجة بالبرامج الضارة ، مما يؤدي إلى صفحات تابعة.

المهاجمون يكسبون من خلال برامج الإعلانات التابعة، والتي تدفع من خلال مقدار حركة المرور المشار إليها في الصفحات التابعة للرعاية”.

مئات الآلاف من الأجهزة المصابة

إجمالاً، استخدمت هذه الحملة المستمرة حتى الآن 159 نطاقًا لاستضافة “متوسط ​​17300 عنوان URL فريد” والتي قدمت أكثر من 15300 عينة من البرامج الضارة متعددة الأشكال للأجهزة المخترقة مما أدى إلى نشر مئات الآلاف من العينات على الأجهزة المصابة من مايو إلى سبتمبر 2020.

نظرًا لأن هذه الحملة الضخمة لا تزال نشطة وتنتشر إلى أجهزة كمبيوتر جديدة كل يوم، فإن البنية التحتية لـ Adrozek لا تزال تتوسع وتضيف مجالات جديدة تُستخدم لحقن برمجيات خبيثة جديدة وفريدة من نوعها.

وقالت مايكروسوفت: “البنية التحتية للتوزيع ديناميكية للغاية أيضًا. بعض النطاقات كانت تعمل ليوم واحد فقط، بينما كان البعض الآخر نشطًا لفترة أطول تصل إلى 120 يومًا”.

“ومن المثير للاهتمام، أننا رأينا بعض المجالات توزع ملفات نظيفة مثل Process Explorerوهي محاولة على الأرجح من قبل المهاجمين لتحسين سمعة المجالات وعناوين URL الخاصة بهم، والتهرب من الحماية المستندة إلى الشبكة.”

قدرات Adrozek

بين مايو وسبتمبر 2020، أصاب المهاجمون الذين يقفون وراء حملة Adrozek للبرامج الضارة أهدافهم من خلال التنزيلات عندما وصلوا إلى أحد المجالات الـ 159 المستخدمة لدفع مئات الآلاف من عينات Adrozek.

نظرًا لكونه سلالة من البرمجيات الخبيثة متعددة الأشكال، فإن Adrozek سيتجنب الاكتشاف أيضًا ويسهل على مشغليه نشر كميات ضخمة من العناوين الجديدة في البنية التحتية الخاصة بهم.

وأضافت مايكروسوفت: “في حين أن العديد من المجالات استضافت عشرات الآلاف من عناوين URLفإن عددًا قليلاً منها يحتوي على أكثر من 100000 عنوان URL فريد، بينما يستضيف أحدها ما يقرب من 250.000”.

“تعكس هذه البنية التحتية الضخمة مدى تصميم المهاجمين على إبقاء هذه الحملة جاهزة للعمل”

يتم تقديم ملف تنفيذي ضار غامض للغاية للضحايا يتم حفظه في مجلد٪ temp٪ بالكمبيوتر، وهو ملف ثنائي يقوم لاحقًا بإسقاط وتثبيت البرنامج الرئيسي المموه كبرنامج صوتي شرعي في Program Files.

بعد التثبيت على الجهاز، سيبدأ Adrozek في إضافة البرامج النصية الخبيثة التي يستخدمها لحقن الإعلانات في العديد من الإضافات المستهدفة لكل من المتصفحات التي يقوم باختطافها.

ستعمل البرامج الضارة على إيقاف تشغيل عناصر التحكم في الأمان على Microsoft Edge ومتصفحات الويب الأخرى المستندة إلى Chromium، وإيقاف تشغيل التصفح الآمن، وتمكين الإضافات المخترقة في وضع التصفح المتخفي.

سيؤدي أيضًا إلى تعطيل التحديثات التلقائية للمتصفح على أجهزة الكمبيوتر المصابة للتأكد من عدم استعادة مكونات المتصفح التي تم اختراقها إلى إصدار نظيف.

يكتسب Adrozek الثبات عن طريق إضافة إدخالات التسجيل وإنشاء خدمة Windows جديدة تسمى “Main Service” لإطلاق البرامج الضارة الرئيسية تلقائيًا عند بدء تشغيل النظام.

في الأنظمة التي تم تثبيت Mozilla Firefox عليها، سيسرق Adrozek أيضًا بيانات اعتماد المستخدم المشفرة من ملف تعريف Firefox الخاص بالضحايا، وبيانات الاعتماد التي سيقوم بفك تشفيرها لاحقًا إلى مشغليها.

وخلصت Microsoft إلى أنه “من خلال هذه الوظيفة الإضافية، يميز Adrozek نفسه عن غيره من معدِّلات المتصفح ويثبت أنه لا يوجد شيء مثل التهديدات ذات الأولوية المنخفضة أو غير العاجلة”.

“وبينما يتمثل الهدف الرئيسي للبرامج الضارة في ضخ الإعلانات وإحالة الزيارات إلى مواقع ويب معينة، فإن سلسلة الهجوم تتضمن سلوكًا معقدًا يسمح للمهاجمين بالحصول على موطئ قدم قوي على الجهاز.”

Leave A Reply

Your email address will not be published.