تنكوبوك
اكتشف باحثون أمنيون برنامجا خبيثا جديدا غير عادي يسرق كلمات مرور المستخدمين ووسائل دفع الحسابات المالية المخزنة في متصفحات الضحايا، ويرفع أيضا بصمت عدد المشتركين بقنوات يوتيوب وعائداتهم.
ويمتلك البرنامج الخبيث “سكرانوس” (Scranos) قدرات الوصول إلى جذر نظام التشغيل، مما يتيح له التخفي عميقا في حواسيب ويندوز غير المحصنة للحصول على وصول مستمر إلى موارد وبيانات الجهاز حتى بعد إعادة تشغيله.
ووفقا لبحث جديد لشركة “بتفايندر” الرومانية نُشر اليوم الثلاثاء، فإن سكرانوس لم يظهر إلا في الأشهر الأخيرة، لكن عدد الأجهزة التي يصيبها ارتفع كثيرا منذ اكتشافه أول مرة في نوفمبر/تشرين الثاني الماضي.
وقال بوجدان بوتيزاتو، مدير أبحاث التهديد والإبلاغ في بتفايندر، في رسالة بالبريد الإلكتروني لموقع تيك كرنتش المعني بشؤون التقنية، إن “الدوافع تجارية بحتة”، وأضاف “يبدو أنهم مهتمون بنشر شبكة بوت نت لتعزيز الأعمال من خلال إصابة أكبر عدد ممكن من الأجهزة ودفعها للنقر على الإعلانات ولاستخدامها كمنصة توزيع لبرامج ضارة لأطراف خارجية”.
وبوت نت تطلق على مجموعة من الأجهزة المتصلة بالإنترنت والمصابة بأحد البرامج الخبيثة التي تتيح للقراصنة التحكم بها وتسخيرها للقيام إما بهجمات إلكترونية لصالحهم، أو سرقة البيانات أو إرسال بريد مزعج.
ووجدت بتفايندر أن برمجية سكرانوس الخبيثة تنتشر من خلال عمليات تحميل ملفات من الإنترنت تتنكر كأنها تطبيقات حقيقية، مثل تطبيقات تشغيل الفيديو وتطبيقات قراءة الكتب الإلكترونية. ويتم توقيع هذه التطبيقات رقميا -على الأرجح من شهادات أنشئت بطريقة احتيالية- لمنع حظرها من قبل برامج مكافحة الفيروسات والجدران النارية في الحواسيب.
ويقول بوتيزاتو إنه باستخدام هذا النهج فإن احتمالية أن يصيب القراصنة الأجهزة المستهدفة عالية جدا. وبمجرد تنزيل التطبيق الخبيث فإنه يتغلغل إلى جذر نظام التشغيل ليحافظ على وجوده ويتواصل مع خوادم التحكم والقيادة للمخترقين اللذين يقفون وراءه لتحميل مكونات ضارة إضافية.
وتنطوي المرحلة الثانية على حقن مكتبات الرموز المخصصة في متصفحات الويب المعروفة مثل كروم وفايرفوكس وإيدج وبايدو وياندكس وغيرها، لاستهداف حسابات فيسبوك ويوتيوب وأمازون وأير بي أن بي، فيجمع البرنامج الضار البيانات لإرسالها إلى مشغله.
يعمل البرنامج الخبيث ضمن شبكة بوت نت واسعة للسيطرة على عدد كبير من الحواسيب واستخدمها لتحقيق أهداف القراصنة (رويترز)
وتقول بتفايندر إن أهم هذه العناصر هو يوتيوب، حيث يفتح البرنامج الخبيث متصفح كروم في وضع تصحيح الأخطاء (debugging mode) ويقوم بإخفاء نافذة المتصفح على سطح المكتب وشريط المهام، ويتم خداع المتصفح لفتح مقاطع فيديو يوتيوب في الخلفية وكتم صوتها، والاشتراك في قنوات يحددها مسبقا خادم القيادة والتحكم، والنقر على الإعلانات.
وبحسب الشركة، فإن مكون آخر قابل للتنزيل يسمح للبرنامج الضار بإرسال طلبات تضم رسائل تصيد إلى صديق الضحية على فسيبوك. وعن طريق حذف ملف تعريف الارتباط لجلسة المستخدم، فإنه يرسل رابطا ضارا إلى تطبيق إعلانات على أندرويد عبر رسالة دردشة.
وتوضح الشركة في تقريرها أنه “إذا كان المستخدم مسجلا الدخول في حساب فيسبوك، فإن البرنامج الضار ينتحل هوية المستخدم ويستخرج البيانات من الحساب من خلال زيارة صفحات ويب معينة من حاسوب المستخدم، لتجنب إثارة الشكوك من خلال تشغيل تنبيه جهاز غير معروف”.
ويمكن للبرنامج الضار استخراج عدد الأصدقاء، وما إذا كان المستخدم يدير أي صفحات أو لديه معلومات دفع في الحساب، كما يحاول سرقة الملفات المؤقتة (كوكيز) لجلسة إنستغرام وعدد المتابعين لديه.
ويؤكد بوتيزاتو أن “هذا تهديد متطور للغاية واستغرق الكثير من الوقت والجهد لإعداده”. ويعتقد الباحثون أن هذا البوت نت انتشر بالفعل في عشرات آلاف الأجهزة على الأقل. مشيرا إلى أن البرمجيات الخبيثة التي تستهدف جذر النظام تظهر “مستوى غير معتاد من التعقيد والتصميم” لدى القراصنة.