اهلا ومرحبا بكم من جديد زوار ومتابعي موقع وقنوات فايروس سفن اكس في موضوع
جديد مهم جدا لكل متابعينا وجميع مستخدمي الانترنت، فقد يتم اختراق او سرقه
بيانات حساسه من جهازك او استغلال جهازك في تعدين العملات المشفره بسبب
الضغط علي اعلان واحد.
دائما يسعي المخترقين الي تطوير خبراتهم وطرق العمل وابتكار تقنيات وطرق
وادوات جديده لاختراق اجهزه المستخدمين اما لطلب فديه وابتزازهم او سرقه
بيانات الحسابات البنكيه او استغلال اجهزتهم كضحايا البوت نت لاستخدامها في
الهجمات لاخفاء هويتهم او لتعدين العملات الرقمية.
في تقرير امني جديد لفريق V7x Team، قمنا بتحليل السلوكيات التي يتبعها
المهاجمين في الفتره الاخيره، قد لاحظنا استغلال الاعلانات الشرعيه من جوجل
للترويج لمنتجات وعروض وخدمات مجانيه او بأسعار منخفضه لغرض جذب انتباه
المستخدم ليضغط علي الاعلان، ثم يتم بعدها حدوث السيناريو الشهير "Pishing"
ويتم تحويل او توجيه المستخدم الي صفحه مزيفه تعرض اعلانات مزيفه، علي الرغم
من ان جوجل تعمل بشكل كبير علي فلتره الاعلانات وتتبع مصدرها وتحليلها
ومراجعتها ولكن عدد المعلنيين بالطبع يكون ضخما جدا وبالتالي تحتاج جوجل
للاعتماد علي انظمتها للمراجعه الاليه دون تدخل الاشخاص.
ولكن بعد ذلك يتم خداع الروبوتات الاليه لدي جوجل في نشر حمله اعلانيه شرعيه
للترويج لمحتوي مصمم خصيصا لاغراض السرقه والتجسس والاختراق وما الي ذلك،
يلجأ المخترقين هذه الفتره الي العديد من الطرق والاساليب لتنجح عملياتها
والحصول الي ضحايا اكبر، فكلما كان عدد الضحايا كبير كلما استفاد المهاجم من
اجهزه الضحايا والبيانات التي يجمعها.
في هذه الفتره لاحظنا استهداف منصات اشهر مواقع التسويق
AWS او "Amazon Web Services" وكذلك العملاق الالكتروني للتسويق علي بابا "Alibaba" ، تضم هذه المنصات ملايين العملاء يوميا يقومون بالشراء وتصفح المنتجات في
دول مختلفه وبالطبع يعد هذا النوع من الاستهداف عالي الخطوره لانه يعتمد بشكل
كبير جدا علي الاعلانات، بينما يستهدف المخترقين علي الانترنت مستخدمي وعملاء
هذه المواقع من خلال الاعلانات المزيفه.
كمثال لدينا LemonDuck ، وهي الروبوتات
الخاصة بتعدين العملات المشفرة عبر الأنظمة الأساسية ، والتي تستهدف Docker
لتعدين العملات المشفرة على أنظمة Linux كجزء من حملة برمجيات خبيثة نشطة
حاليا ومنذ فتره سابقة في 2021.
قال ايضا الباحث CrowdStrike في تقرير جديد عنها: "إنها تدير عملية تعدين
مجهولة من خلال استخدام تجمعات الوكيل ، والتي تخفي عناوين المحفظة للمهاجم
وكذلك يتجنب الكشف عن طريق استهداف خدمة المراقبة في Alibaba Cloud وتعطيلها
قبل الهجوم.
يعرف ايضا LemonDuck بضرب كلا من بيئات Windows و Linux ، وهو مصمم بشكل
أساسي لإساءة استخدام موارد النظام لتعدين العملات المشفره Monero ولكنه قادر
أيضا على سرقة بيانات الاعتماد التي يستغلها المهاجم في حق الدخول الي
الحسابات المفتوحه علي الجهاز، والحركة الجانبية في النظام ، وتسهيل نشر
حمولات إضافية لأنشطة المتابعة لتوسيع عمليه الاختراق.
كما يستخدم نطاقا واسعا من الانتشار التلقائي وذلك من خلال رسائل البريد
الإلكتروني الاحتيالية او التصيد، وعمليات الاستغلال ، وأجهزة USB ، وهجوم
القوة الغاشمة وأمور أخرى ، وقد أظهر أنه يمكنه الاستفادة بسرعة من الأخبار
أو الأحداث أو إصدار مآثر جديدة لتشغيل حملات فعالة وهذا ماتحدثت عنه ايضا
ميكروسوفت في كتابة فنية عن البرامج الضارة في شهر يوليو الماضي.
وتستفيد الحملة الأخيرة التي رصدتها CrowdStrike من واجهات برمجة تطبيقات
Docker المكشوفة كمتجه وصول أولي للضحايا، وتستخدمها لتشغيل حاوية مبرمجه
لاسترداد ملف نصي بـ Bash shell ما ان الملف متخفي علي هيئه صورة PNG يقوم
بتحميلها علي الجهاز كملف غير ضار من سيرفر بعيد تابع للمهاحم.
|
| مثال توضيحي لملف Shell Bash |
كما تعد الاعلانات الملفته مفتاحًا لشن الهجوم ، حيث يقوم الكود النصي Shell
بتنزيل البرامج الاخءي للتعدين ولعطيل اي برامج تعدين اخري علي جهاز الضحيه
تعمل في الخلفيه وكذلك تقوم بتعطيل خدمات المراقبة في Alibaba Cloud ، وأخيرا
تقوم بتنزيل وتشغيل برنامج XMRig Coin Miner في الخلفيه لتعدين العملات
المشفرمه.
ولذلك وجب علينا ان ننصح بعدم تحميل برامج او لعاب مجانيه او برامج مكركه
بشكل عام وعدم فتح اي اعلانات لحمايه جهازك وبياناتك، واخيرا وليس اخرا كان
هذا موضوع اليوم نتمني ان تكونوا قد استفدتم منه وان لاتبخلوا علينا وعلي
غيركم بالافاده من خلال مشاركه الموضوع مع اصدقائكم ليستفيد الجميع ولنستمر
في نشر المزيد من هذه المواضيع، دمتم في امان الله والسلام عليكم ورحمه الله
وبركاته.