اكتشف باحثون في شركة كاسبرسكي لاب نسخة معدلة من برمجية SynAck Trojan الخبيثة لطلب الفدية تتسم بأنها تستخدم أسلوب Doppelgänging لتجاوز أنظمة الحماية الأمنية من الفيروسات عن طريق “الاختباء” في عمليات مشروعة. وتعد هذه المرة الأولى التي يُشاهد فيها هذا الأسلوب من طلب الفدية على أرض الواقع، وتقوم الجهة الكامنة وراء تطوير SynAck بتنفيذ حيل أخرى لتجنب الكشف؛ إذ تعمل على تشتيت جميع شيفراتها البرمجية والانسحاب إذا كانت هناك دلائل تشير إلى أنه سوف يتم إطلاقها من خلال الآلية الأمنية المعروفة باسم “صندوق الرمل”، أو الملعب البرمجي، والخاصة بالتشغيل الآمن للبرامج، وذلك قبل تجميع العينات البرمجية. وكانت برمجية SynAck اكتشفت في خريف العام 2017، ولوحظ في ديسمبر تركيزها على استهداف المستخدمين الناطقين بالإنجليزية مع شنّ هجمات القوة الغاشمة عبر ما يُعرف بـ”بروتوكول سطح المكتب البعيد”، يليها التنزيل التثبيت اليدوي للبرمجية الخبيثة. واعتبر أنتون إيڤانوڤ كبير محلّلي البرمجيات الخبيثة لدى كاسبرسكي لاب، أن السباق بين المهاجمين والمدافعين في الفضاء الإلكتروني “سباق بلا نهاية”، مشيراً إلى قدرة أسلوب عملية Doppelgänging على إيصال البرمجيات الخبيثة خلف خطوط الحماية ومن خلال أحدث الإجراءات الأمنية دون الكشف عنها، “تمثل تهديداً كبيراً استطاع المهاجمون، بصورة متوقعة، استغلاله بسرعة كبيرة”، وقال: “يوضّح بحثنا كيف استخدمت البرمجية المغمورة نسبياً SynAck هذا الأسلوب لتحسين القدرة على التخفي والإصابة في هجمات طلب الفدية، ولحسن الحظ، تم تنفيذ منطق الكشف عن هذا الأسلوب قبل أن ينتشر في الواقع انتشاراً واسعاً”. وينطوي هذا الأسلوب على إدخال شيفرة برمجية من دون ملف باستغلال ميزة وظيفية في النظام “ويندوز” وعملية تنفيذ غير موثقة في مُلقمّ العمليات بالنظام، ويمكن للمهاجمين أن يمرّروا الإجراءات الخبيثة بعد إظهارها كعمليات غير ضارة أو شرعية، حتى وإن كانوا يستخدمون شيفرة خبيثة معروفة، عبر التلاعب في كيفية تعامل “ويندوز” مع المعاملات الخاصة بالملفات، ولا يترك أسلوب Doppelgänging أي أثر خلفه يدلّ عليه، ما يصعّب اكتشاف هذا النوع من الاختراق. ويعتقد الباحثون أن الهجمات التي تستخدم هذا النوع الجديد من SynAck موجّهة بدرجة كبيرة، فحتى الآن، لاحظوا عددًا محدودًا من الهجمات في الولايات المتحدة والكويت وألمانيا وإيران، بطلبات فدية قدرها 3,000 دولار. وتوصي كاسبرسكي لاب، للحفاظ على أمن المستخدمين والأجهزة من هجمات طلب الفدية، بالحرص على النسخ الاحتياطي للبيانات بانتظام، واستخدام حل أمني موثوق به مُمكّن بتقنيات كشف السلوك ويستطيع صدّ الإجراءات الخبيثة، والحفاظ دائماً على تحديث البرمجيات والتطبيقات على جميع الأجهزة، وتوعية الموظفين وفرق تقنية المعلومات في الشركات، والحفاظ على البيانات الحساسة منفصلة مع تقييد الوصول إليها، واستخدام حل أمان متخصص، مثل Kaspersky Endpoint Security for Business، وفي حال وقوع ضحية لهجمة أدّت إلى تشفير الملفات، فعلى المستخدم اللجوء إلى جهاز نظيف للتحقق من موقع No More Ransom، لاستعادة الملفات المشفرة.
مشاركة :