باحثون صينيون يعطلون هجوم البرمجيات الخبيثة التي أصابت الآلاف من أجهزة الكمبيوتر
قالت شركة الأمن الصينية Qihoo 360 Netlab
إنها دخلت في شراكة مع عملاق التكنولوجيا Baidu لتعطيل الروبوتات الخبيثة التي تصيب مئات الآلاف من الأنظمة.
تم إرجاع الروبوتات إلى مجموعة تسميها ShuangQiang
(تسمى أيضًا Double Gun ) ،
والتي كانت وراء العديد من الهجمات منذ عام 2017 التي تهدف
إلى اختراق أجهزة الكمبيوتر التي تعمل بنظام Windows باستخدام MBR و VBR bootkits ،
وتثبيت برامج تشغيل ضارة لتحقيق مكاسب مالية واختراق حركة مرور الويب إلى e مواقع التجارة.
بالإضافة إلى ستخدام الصور التي تم تحميلها على Baidu Tieba لتوزيع ملفات التكوين والبرامج الضارة
وهي تقنية تسمى إخفاء المعلومات - بدأت المجموعة في استخدام تخزين Alibaba Cloud
لاستضافة ملفات التكوين ومنصة Baidu التحليلية Tongji لإدارة نشاط مضيفيها المصابين ، كما قال الباحثون .
يعتمد الحل الوسط الأولي على إغراء المستخدمين غير المشتبه
بهم لتثبيت برنامج تشغيل اللعبة من بوابات اللعبة غير الرسمية التي تحتوي على كود ضار تحت ستار التصحيح.
البرامج الضارة الصينية Botnet
بمجرد أن يقوم المستخدم بتنزيل التصحيح وتثبيته ،
فإنه يصل إلى معلومات التكوين المذكورة أعلاه لتنزيل برنامج منفصل يسمى "cs.dll" من Baidu Tieba يتم تخزينه كملف صورة.
في المراحل اللاحقة ، لا يُنشئ "cs.dll" معرّف برنامج الروبوت ويبلغه مرة أخرى إلى الخادم الذي يتحكم فيه المهاجم ،
ولكنه يضخ أيضًا برنامج تشغيل ثانٍ يخطف عمليات النظام (على سبيل المثال ، lassas.exe و svchost.exe)
في من أجل تحميل حمولات المرحلة التالية لتعزيز دوافع المجموعة.
قام باحثو Qihoo أيضًا بتفصيل سلسلة عدوى ثانية حيث يتم تعديل برنامج عميل اللعبة مع المكتبات الضارm
(نسخة معدلة من ملف photobase.dll) ، باستخدام طريقة تسمى اختطاف DLL
لتحرير وتحميل برنامج التشغيل الضار قبل تحميل الوحدة النمطية الشرعية.
وقالت الشركة إنها تواصلت مع فريق الأمن التابع لـ Baidu في 14 مايو ،
وأنهم اتخذوا إجراءات مشتركة لمنع انتشار برنامج الروبوتات عن طريق حظر جميع التنزيلات من عناوين URL المعنية.
وقال بايدو "خلال هذه العملية المشتركة ، من خلال تحليل المعلومات عن التهديدات ومشاركتها والرد عليها ،
قمنا بتشكيل فهم أفضل للوسائل التقنية والمنطق والقواعد الخاصة بعصابة البندقية المزدوجة".
تعليقات: 0
إرسال تعليق