برمجية خبيثة تتخفى في صور gif المتحركة

يمكن بكل بساطة تجنب الوقوع ضحية لبرمجية "ستيغانو" بعدم استخدام متصفح إنترنت إكسبلورر
يمكن بكل بساطة تجنب الوقوع ضحية لبرمجية "ستيغانو" بعدم استخدام متصفح إنترنت إكسبلورر

اكتشف باحثون من شركة "إي ست" السلوفاكية لأمن المعلومات برمجية خبيثة تحمل اسم "ستيغانو" تستهدف مستخدمي متصفح إنترنت إكسبلورر على الحواسيب الشخصية.

ورغم أن مستخدمي هذا المتصفح ينكمشون يوما بعد يوم بعد ظهور ويندوز 10 الذي يعتمد متصفح "إيدج" الجديد فإن هذه البرمجية تظهر مدى براعة المخترقين في تمرير إعلانات ضارة تتجاوز الشبكات الكبرى، ومن ثم إخفاء البرمجية الخبيثة من الاكتشاف.

ويقول الباحثون إن هذه البرمجية كانت تعمل بسرية خلال العامين الماضيين دون أن يكتشفها أحد، وتستهدف بشكل خاص خدمات الدفع والعمليات المصرفية للشركات.

ويبدأ الهجوم بإعلانات ملوثة ببرمجية جافا لتطبيقي "بروكسو" لأخذ لقطات للشاشة، و"براوزر دفنس" لحماية متصفح الإنترنت، مع دفع هذه الإعلانات للظهور على شبكات إعلانات ضخمة، حيث تظهر على مواقع إخبارية رئيسية يشاهدها ملايين المستخدمين.

لكن كيف تمكنت هذه البرمجية من تخطي تقنية مكافحة البرامج الخبيثة التي تستخدمها شبكات الإعلانات الكبرى؟

عند تقديم الإعلان فإنه يدير شفرة جافا تمويهية تشغل اختبارا لفحص البيئة التي سيظهر فيها، فإذا كُنت تدير "آلة افتراضية" أو بيئات أخرى كالتي يستخدمها عادة باحثو الأمن، فإن الإعلان يظهر بشكل صورة ثابتة نظيفة، لكن إن تبين أن الجهاز قابل للاختراق فإن الإعلان يظهر كصورة gif متحركة تخبئ البيانات ضمن قناة "ألفا" أو "الشفافية" في الصورة.

بعد الفحص الأول يعمل فحص ثان على استخلاص وتشغيل الشفرة الخبيثة مستفيدا من ثغرة معروفة في متصفح "إنترنت إكسبلورر"، ثم تفحص البرمجية الحاسوب مرة أخرى بحثا عن آلات افتراضية أو أي منتجات أمنية أخرى هدفها رصد البرمجيات الخبيثة، كما أنها تفحص مشغلات الرسوميات والأمن للتأكد أنها تعمل على حاسوب فعلي.

ومن هنا تقوم البرمجية بتحميل فيديو بصيغة "آي فريم" وتحوله عبر ميزة اختصار الروابط "تني يو آر إل" إلى موقع استغلالي جديد يقوم بفحص وجود إنترنت إكسبلورر ويحمل ملف "فلاش" يقوم بتمرير المعلومات إلى خادم القراصنة بعد تشفيرها ليعيد الخادم إرسال شفرة تستفيد من إحدى ثغرات فلاش بحيث يتم تثبيت الحمولة النهائية على الحاسوب المستهدف.

وبعد فحص أخير للحاسوب المستهدف تبدأ عملية تفريغ الحمولة وتشغيلها؛ ومن هناك يصبح الحاسوب مخترقا ببرمجية "باب خلفي" أو "تسجيل نقرات لوحة المفاتيح" أو "صانع لقطات الشاشة" أو "صانع فيديو"، وعند هذه المرحلة يمكن للقراصنة سرقة أي ملف بحثا عن نقاط ضعف من شأنها أن تتيح لهم سرقة أو ابتزاز المال.

ولتجنب هذه البرمجية الخبيثة ينصح الخبراء بتحديث برامج الحاسوب واستخدام حلول موثوقة لأمن الإنترنت، وبعدم استخدام متصفح إنترنت إكسبلورر في المقام الأول.

المصدر : مواقع إلكترونية