اكتشفت باحثون في أمن المعلومات، طرق عدوى غير شائعة يستخدمها مهاجمو الإنترنت، وبينها برنامج RapperBot ضمن فئة ديدان «ميراي» الخبيثة التي تصيب أجهزة إنترنت الأشياء، ويتمثل هدفها النهائي في شن هجمات حجب الخدمة الموزعة (DDoS) ضد أهداف لا ترتبط ببروتوكول نقل النص الفائق HTTP. وتتضمن الطرق الأخرى التي كشف عنها الباحثون، سرقة المعلومات Rhadamanthys و CUEMiner، بالاعتماد على البرامج الخبيثة مفتوحة المصدر التي يُفترض أن يتم توزيعها من خلال BitTorrent و One Drive. ووفقا لباحثي «كاسبرسكي»، تم الكشف عن برنامج RapperBot الخبيثة لأول مرة في يونيو 2022، عندما استخدمت لاستهداف بروتوكول Secure Shell (SSH)، الذي يُعتبر طريقة آمنة لتوصيل الملفات، لأنه يستخدم الاتصالات المشفرة، مقارنة بخدمات البروتوكول الشبكيTelnet التي تنقل البيانات على شكل نص عادي. ومع ذلك، نجح أحدث إصدار من برنامج RapperBot من إزالة وظائف بروتوكول(SSH)، ويركز الآن حصرياً على البروتوكول الشبكيTelnet، وتمكن من تحقيق بعض النجاح. وفي الربع الأخير من العام الماضي 2022، سجل عدد محاولات الإصابة باستخدام برنامج RapperBot إلى 112 آلاف مستخدم من أكثر من ألفين عنوان فريد لبروتوكول الإنترنت. ومن أهم ما يميز برنامج RapperBot عن الديدان الأخرى اتباعه طريقة الهجمات القوة العمياء الذكية “intelligent brute forcing”،حيث إنه يتحقق أولاً من أداة التوجيه التي يستند إليها لتحديد بيانات الاعتماد المناسبة. وتعمل هذه الطريقة على تسريع هجمات القوة العمياء بشكل كبير، حيث لا يفترض بها تجاوز قائمة ضخمة من بيانات الاعتماد. وفي ديسمبر 2022، كانت تايوان وكوريا الجنوبية والولايات المتحدة أكثرثلاث دول يوجد فيها أعلى عدد من الأجهزة المصابة ببرنامج RapperBot. وهناك عائلة برامج خبيثة أخرى وصفتها كاسبرسكي وهي CUEMiner، استناداً إلى برنامج خبيث مفتوح المصدر ظهر لأول مرة على Github في العام 2021. وتم اكتشاف الإصدار الأخير في أكتوبر 2022، ويتضمن عامل تعدين ذاتي، وما يسمى بـ «المراقب». ويراقب هذا البرنامج نظاماً معيناً، وفي الوقت ذاته يتم إطلاق عملية ثقيلة، مثل «لعبة فيديو» على جهاز كمبيوتر الضحية. وفي أثناء التحقيق الذي أجرته على CUEMiner، لاحظت كاسبرسكي وجود طريقتين لنشر البرنامج الخبيث. وتتم الأولى عبر برنامج مخترق بأحد تروجانات يتم تنزيله عبر BitTorrent، وتكون الأخرى عبر برنامج مخترق أيضاً بأحد تروجانات يتم تنزيله من شبكات مشاركة الملفات OneDrive. ونظراً لعدم وجود روابط مباشرة متاحة في وقت النشر، لا يزال من غير الواضح الطرق التي يتم اتباعها للإيقاع بالضحايا، ودفعهم لتنزيل هذه الحزم المخترقة. ومع ذلك، فإن العديد من مواقع اختراق أنظمة الكمبيوتر الآمنة هذه الأيام لا توفر التنزيلات على الفور، ولكنها تشير إلى قنوات خوادم Discord لإجراء المزيد من المناقشة. ويشير هذا إلى أحد أشكال التفاعل البشري والهندسة الاجتماعية. وتحظى هذه البرامج الخبيثة «مفتوحة المصدر» بشعبية كبيرة بين مجرمي الإنترنت الهواة أو غير المهرة، لأنها تسمح لهم بشن حملات ضخمة،حيث ينتشر ضحايا CUEMiner حالياً في جميع أنحاء العالم، ويكون بعضهم داخل شبكات المؤسسات. وتبين من خلال استخدام القراءات الواردة عن شبكة كاسبرسكي الأمنية أن البرازيل والهند وتركيا سجلت أكبر عدد من الضحايا. و توفر كاسبرسكي معلومات جديدة عن Rhadamanthys، وهو برنامج لسرقة المعلومات يستخدم إعلانات «جوجل» كوسيلة لتوزيع البرامج الخبيثة وإيصالها. وتم عرضه بالفعل على Securelist في مارس 2023، ولكن منذ ذلك الحين، تم الكشف عن أن برنامج Rhadamanthys يرتبط باتصال قوي بـ Hidden Bee miner الذي يستهدف مباشرة أنشطة تعدين العملات المشفرة. ويستخدم كلا النموذجين الصور لإخفاء الحمولة داخلهما،ويشتملان على رموز خارجية متشابهة للتنظيم الذاتي. ويستخدم البرنامجان أيضاً «أنظمة الملفات الافتراضية في الذاكرة»،ولغة البرمجة «لوا» Lua لتحميل الإضافات والوحدات. وقال جورنت فان دير فيل، كبير الباحثين الأمنيين في فريق البحث والتحليل العالمي لدى كاسبرسكي، إن مجرمي الإنترنت يستخدمون على نطاق واسع البرامج الخبيثة مفتوحة المصدر، وإعادة استخدام التعليمات البرمجية، وإعادة تصميم العلامة التجارية. وأستطرد: وهذا يعني أنه يمكن للمهاجمين الأقل مهارة الآن تنفيذ حملات واسعة النطاق، واستهداف الضحايا في جميع أنحاء العالم. وأضاف «فيل» أن الإعلان الخبيث، أصبح اتجاهاً سائداً على نطاق واسع، بل أصبح مطلوباً بشدة بين مجموعات البرامج الخبيثة، متابعا: ولتجنب مثل هذه الهجمات ولحماية الشركات من التعرض للاختراق، يتعين على مالكيها امتلاك الدراية الكافية إزاء ما يجري في مجال الأمن السيبراني، واستخدام أحدث أدوات الحماية المتاحة.