حذار من "سكرانوس".. برنامج خبيث متطور يسرق بياناتك ويشترك عنك بقنوات يوتيوب

A hooded man holds a laptop computer as blue screen with an exclamation mark is projected on him in this illustration picture taken on May 13, 2017. Capitalizing on spying tools believed to have been developed by the U.S. National Security Agency, hackers staged a cyber assault with a self-spreading malware that has infected tens of thousands of computers in nearly 100 countries. REUTERS/Kacper Pempel/Illustration
تتيح البرمجية الخبيثة للقراصنة التحكم بآلاف الأجهزة واستخدامها لتنفيذ هجمات إلكترونية أو سرقة البيانات (رويترز)

اكتشف باحثون أمنيون برنامجا خبيثا جديدا غير عادي يسرق كلمات مرور المستخدمين ووسائل دفع الحسابات المالية المخزنة في متصفحات الضحايا، ويرفع أيضا بصمت عدد المشتركين بقنوات يوتيوب وعائداتهم.

ويمتلك البرنامج الخبيث "سكرانوس" (Scranos) قدرات الوصول إلى جذر نظام التشغيل، مما يتيح له التخفي عميقا في حواسيب ويندوز غير المحصنة للحصول على وصول مستمر إلى موارد وبيانات الجهاز حتى بعد إعادة تشغيله.

ووفقا لبحث جديد لشركة "بتفايندر" الرومانية نُشر اليوم الثلاثاء، فإن سكرانوس لم يظهر إلا في الأشهر الأخيرة، لكن عدد الأجهزة التي يصيبها ارتفع كثيرا منذ اكتشافه أول مرة في نوفمبر/تشرين الثاني الماضي.

وقال بوجدان بوتيزاتو، مدير أبحاث التهديد والإبلاغ في بتفايندر، في رسالة بالبريد الإلكتروني لموقع تيك كرنتش المعني بشؤون التقنية، إن "الدوافع تجارية بحتة"، وأضاف "يبدو أنهم مهتمون بنشر شبكة بوت نت لتعزيز الأعمال من خلال إصابة أكبر عدد ممكن من الأجهزة ودفعها للنقر على الإعلانات ولاستخدامها كمنصة توزيع لبرامج ضارة لأطراف خارجية".

وبوت نت تطلق على مجموعة من الأجهزة المتصلة بالإنترنت والمصابة بأحد البرامج الخبيثة التي تتيح للقراصنة التحكم بها وتسخيرها للقيام إما بهجمات إلكترونية لصالحهم، أو سرقة البيانات أو إرسال بريد مزعج.

ووجدت بتفايندر أن برمجية سكرانوس الخبيثة تنتشر من خلال عمليات تحميل ملفات من الإنترنت تتنكر كأنها تطبيقات حقيقية، مثل تطبيقات تشغيل الفيديو وتطبيقات قراءة الكتب الإلكترونية. ويتم توقيع هذه التطبيقات رقميا -على الأرجح من شهادات أنشئت بطريقة احتيالية- لمنع حظرها من قبل برامج مكافحة الفيروسات والجدران النارية في الحواسيب.

ويقول بوتيزاتو إنه باستخدام هذا النهج فإن احتمالية أن يصيب القراصنة الأجهزة المستهدفة عالية جدا. وبمجرد تنزيل التطبيق الخبيث فإنه يتغلغل إلى جذر نظام التشغيل ليحافظ على وجوده ويتواصل مع خوادم التحكم والقيادة للمخترقين اللذين يقفون وراءه لتحميل مكونات ضارة إضافية.

وتنطوي المرحلة الثانية على حقن مكتبات الرموز المخصصة في متصفحات الويب المعروفة مثل كروم وفايرفوكس وإيدج وبايدو وياندكس وغيرها، لاستهداف حسابات فيسبوك ويوتيوب وأمازون وأير بي أن بي، فيجمع البرنامج الضار البيانات لإرسالها إلى مشغله.

يعمل البرنامج الخبيث ضمن شبكة بوت نت واسعة للسيطرة على عدد كبير من الحواسيب واستخدمها لتحقيق أهداف القراصنة (رويترز)يعمل البرنامج الخبيث ضمن شبكة بوت نت واسعة للسيطرة على عدد كبير من الحواسيب واستخدمها لتحقيق أهداف القراصنة (رويترز)

وتقول بتفايندر إن أهم هذه العناصر هو يوتيوب، حيث يفتح البرنامج الخبيث متصفح كروم في وضع تصحيح الأخطاء (debugging mode) ويقوم بإخفاء نافذة المتصفح على سطح المكتب وشريط المهام، ويتم خداع المتصفح لفتح مقاطع فيديو يوتيوب في الخلفية وكتم صوتها، والاشتراك في قنوات يحددها مسبقا خادم القيادة والتحكم، والنقر على الإعلانات.

وبحسب الشركة، فإن مكون آخر قابل للتنزيل يسمح للبرنامج الضار بإرسال طلبات تضم رسائل تصيد إلى صديق الضحية على فسيبوك. وعن طريق حذف ملف تعريف الارتباط لجلسة المستخدم، فإنه يرسل رابطا ضارا إلى تطبيق إعلانات على أندرويد عبر رسالة دردشة.

وتوضح الشركة في تقريرها أنه "إذا كان المستخدم مسجلا الدخول في حساب فيسبوك، فإن البرنامج الضار ينتحل هوية المستخدم ويستخرج البيانات من الحساب من خلال زيارة صفحات ويب معينة من حاسوب المستخدم، لتجنب إثارة الشكوك من خلال تشغيل تنبيه جهاز غير معروف".

ويمكن للبرنامج الضار استخراج عدد الأصدقاء، وما إذا كان المستخدم يدير أي صفحات أو لديه معلومات دفع في الحساب، كما يحاول سرقة الملفات المؤقتة (كوكيز) لجلسة إنستغرام وعدد المتابعين لديه. 

ويؤكد بوتيزاتو أن "هذا تهديد متطور للغاية واستغرق الكثير من الوقت والجهد لإعداده". ويعتقد الباحثون أن هذا البوت نت انتشر بالفعل في عشرات آلاف الأجهزة على الأقل. مشيرا إلى أن البرمجيات الخبيثة التي تستهدف جذر النظام تظهر "مستوى غير معتاد من التعقيد والتصميم" لدى القراصنة.

المصدر : مواقع إلكترونية

حول هذه القصة

A 3D printed Apple logo is seen in front of a displayed cyber code in this illustration taken March 22, 2016. REUTERS/Dado Ruvic/Illustration

كشف تقرير لشركة أمنية عن وجود برمجية خبيثة تستهدف حواسيب آبل الشخصية وتؤدي إلى تجميدها، وقالت إن البرمجية يتم تنزيلها بعد زيارة موقع ويب خبيث من خلال متصفح سفاري.

Published On 8/1/2017
A man types on a computer keyboard in Warsaw in this February 28, 2013 illustration file picture. One of the largest ever cyber attacks is slowing global internet services after an organisation blocking

أعلنت شركة كاسبرسكي لاب عن اكتشاف برمجية خبيثة جديدة ومتطورة أطلق عليها اسم “ستون دريل” تتسبب في محو وإتلاف البيانات، واستخدمت لشن هجمات مركزة على أهداف في الشرق الأوسط وأوروبا.

Published On 7/3/2017
Fashion Judy: Pretty Rapper Style is one of dozens of android apps found to infect mobile devices with malware (Enistudio)

كشفت شركة متخصصة بأمن المعلومات وجود العشرات من تطبيقات أندرويد التي أصابت أكثر من 36 مليون هاتف جوال ببرمجية خبيثة إعلانية تحمل جميعها العلامة التجارية “جودي”.

Published On 29/5/2017
المزيد من تكنولوجيا
الأكثر قراءة