خصومات التراخيص المتعددة
Computer Security تم اكتشاف برنامج ضار LOBSHOT عبر تحقيق Malvertising

تم اكتشاف برنامج ضار LOBSHOT عبر تحقيق Malvertising

بواسطة Mura في Computer Security
ترجمة الى:
العربية

اكتشف باحثو Elastic Security Labs مؤخرًا برنامجًا ضارًا جديدًا يسمى LOBSHOT أثناء تحقيقهم الشامل في زيادة حملات الإعلانات الخبيثة. يعتبر LOBSHOT ذا أهمية خاصة لأنه يمنح الجهات الفاعلة في التهديد وصول VNC (حوسبة الشبكة الافتراضية) إلى الأجهزة المصابة. وجد الباحثون أيضًا صلات بين البرنامج الضار و TA505 ، وهي مجموعة مجرمين إلكترونيين ذات دوافع مالية معروفة بنشر العديد من برامج الفدية وأحصنة طروادة المصرفية .

ارتفاع في الحملات الإعلانية الخاطئة

يتزايد عدد الحملات الخبيثة ، وطبيعتها الخفية تجعل من الصعب على المستخدمين التمييز بين الإعلانات المشروعة والخبيثة. لاحظ باحثو الأمن أن هذا الارتفاع قد يُعزى إلى الجهات الفاعلة المهددة التي تبيع الإعلانات الخاطئة كخدمة ، مما يبرز أهمية توخي الحذر عند التفاعل مع الإعلانات عبر الإنترنت.

خلال أبحاثهم ، لاحظت Elastic Security Labs ارتفاعًا ملحوظًا في حملات الدعاية الخبيثة التي تستخدم مجموعات استغلال لاستهداف نقاط ضعف محددة في التطبيقات المستخدمة على نطاق واسع. تمت ملاحظة هذه الحملات بشكل متزايد على العديد من مواقع الويب الشهيرة ، مما يعرض ملايين المستخدمين لتهديدات محتملة. عادةً ما يواجه زوار مواقع الويب هذه الإعلانات الخاطئة التي ، عند النقر عليها ، تعيد التوجيه إلى صفحة مقصودة لمجموعة أدوات الاستغلال حيث يتم تشغيل LOBSHOT في النهاية على جهاز المستخدم.

البنية التحتية TA505

TA505 ، مجموعة مجرمي الإنترنت المشتبه في كونها وراء تطوير ونشر LOBSHOT ، تم الاعتراف بها منذ فترة طويلة لأنشطتها الخبيثة واسعة النطاق. تشتهر هذه المجموعة بمجموعتها المنظمة جيدًا والمتنوعة من حملات الهجوم ، والتي تركز بشكل خاص على المؤسسات المالية كأهدافها الأساسية ولكن أيضًا توسيع أنشطتها الخبيثة إلى الصناعات الأخرى.

بعد تحليل LOBSHOT ، وجدت Elastic Security Labs تداخلًا واضحًا بين البنية التحتية للبرامج الضارة والبنية التحتية TA505 المحددة مسبقًا. يعطي التشابه في منهجيات الهجوم والبنية التحتية المتداخلة مصداقية للفرضية القائلة بأن TA505 مسؤول عن التطوير والاستخدام النشط لـ LOBSHOT.

وصول VNC المخفي

أحد الجوانب الأكثر إثارة للقلق في LOBSHOT هو قدرته على منح الجهات الفاعلة التهديد وصولاً خفيًا إلى أجهزة الضحايا من خلال VNC. تسمح هذه الميزة المحددة للمهاجمين بالوصول عن بُعد إلى جهاز مصاب مع تجاوز موافقة المستخدم ، مما يمنحهم القدرة على مراقبة البيانات الحساسة ومعالجتها وتسللها دون علم المستخدم. يجعل وصول VNC المخفي LOBSHOT أداة قوية وخطيرة في ترسانة مجرمي الإنترنت ، وخاصة أولئك الذين لديهم دوافع مالية.

طريقة التوزيع

لقد لوحظ أن طريقة توزيع البرامج الضارة LOBSHOT تتضمن أساليب خادعة ، والاستفادة من إعلانات Google والمواقع المزيفة لإغراء الضحايا المطمئنين. تُظهر هذه التقنيات أيضًا مدى تعقيد الجهات الفاعلة في التهديد التي تقف وراء هذه البرامج الضارة وقدرتها على التكيف ، مما يجعل الأمر أكثر أهمية بالنسبة للمستخدمين النهائيين لتوخي الحذر عند تصفح الإعلانات والنقر عليها.

المواقع المزيفة من خلال إعلانات جوجل

تتمثل إحدى الطرق الأساسية لتوزيع LOBSHOT في استخدام مواقع الويب المزيفة التي يتم الترويج لها عبر إعلانات Google. يقوم المهاجمون بإنشاء وصيانة مواقع الويب المزيفة هذه ، والتي تم تصميمها لتقليد مواقع الويب والخدمات المشروعة. من خلال استغلال منصة إعلانات Google ، يمكن للخصوم عرض إعلاناتهم الضارة للمستخدمين المطمئنين الذين قد ينقرون على الإعلانات تحت الانطباع بأنها أصلية ، مما يؤدي إلى تثبيت برنامج LOBSHOT الضار على أجهزتهم.

إعادة توجيه المستخدمين إلى مجال AnyDesk وهمية

بصرف النظر عن استخدام مواقع الويب المزيفة ، تتضمن عملية توزيع البرامج الضارة LOBSHOT أيضًا إعادة توجيه المستخدمين إلى مجال AnyDesk مزيف. AnyDesk هو تطبيق سطح مكتب بعيد شائع يعتمد عليه العديد من الشركات والأفراد للوصول عن بُعد والدعم. استفاد ممثلو التهديد من هذه الثقة من خلال إنشاء مجال AnyDesk وهمي لخداع المستخدمين لتنزيل نسخة ضارة من البرنامج ، والتي هي في الواقع برنامج LOBSHOT ضار. تسلط هذه الطريقة الضوء على التكتيكات الماكرة التي يستخدمها هؤلاء المجرمون الإلكترونيون لإيقاع الضحايا وتنفيذ أنشطتهم الخبيثة.

التثبيت من خلال نظام مخترق

في بعض الحالات ، يمكن تثبيت برنامج LOBSHOT الضار على جهاز الضحية من خلال نظام مخترق. قد يحدث هذا إذا قام المستخدم عن غير قصد بزيارة أو تنزيل محتوى من موقع ويب مصاب ببرامج ضارة أو إذا أصبح هدفًا لحملة تصيد احتيالي. بمجرد أن يتسلل البرنامج الضار إلى جهاز الضحية بنجاح ، يمكنه منح VNC وصولاً مخفيًا إلى ممثل التهديد ، الذي يمكنه بعد ذلك التحكم في النظام والتلاعب به عن بُعد حسب الرغبة.

قدرات LOBSHOT

تفتخر برامج LOBSHOT الضارة بمجموعة من القدرات الهائلة التي تجعلها بارعة في التسلل إلى أجهزة المستخدم واستغلالها. تركز البرامج الضارة بشكل أساسي على حوسبة الشبكة الافتراضية المخفية (hVNC) ، مما يسمح للمهاجمين بالتحكم عن بعد في الأجهزة المصابة والوصول إلى واجهة المستخدم الخاصة بهم. تشمل القدرات الأساسية لـ LOBSHOT ما يلي:

حوسبة الشبكة الافتراضية المخفية (hVNC)

في قلب وظائف LOBSHOT تكمن قدرتها على توفير وصول VNC مخفي إلى الأجهزة الضحية. من خلال hVNC ، يتم منح المهاجمين طريقة سرية للتحكم عن بعد في الجهاز دون موافقة أو معرفة الضحية. تجعل ميزة hVNC LOBSHOT خطيرة بشكل خاص ، لأنها تسمح للممثلين السيئين بالحفاظ على تواجد خفي على الأجهزة المخترقة أثناء القيام بأنشطة شائنة مختلفة.

جهاز التحكم عن بعد بالجهاز

تمكن قدرات hVNC من LOBSHOT المهاجمين من التحكم الكامل في الأجهزة المصابة وتنفيذ الأوامر وإجراء التغييرات والوصول إلى الموارد كما لو كانوا مستخدمين شرعيين. يسمح هذا المستوى من التحكم للجهات الفاعلة في التهديد بتنفيذ مجموعة واسعة من الأنشطة الضارة ، بما في ذلك استخراج البيانات ، وتثبيت برامج ضارة إضافية ، وإجراء حملات تجسس. تؤكد القدرة على التحكم عن بعد في جهاز الضحية على التهديد الكبير الذي يشكله LOBSHOT.

واجهة مستخدم رسومية كاملة (GUI)

تتمتع البرامج الضارة أيضًا بالقدرة على الوصول إلى واجهة المستخدم الرسومية الكاملة (GUI) للجهاز المستهدف ، مما يعني أن المهاجم يمكنه التفاعل بصريًا مع بيئة سطح المكتب للجهاز. تضيف هذه الميزة طبقة أخرى من الكفاءة والتحكم إلى البرامج الضارة من خلال تسهيل التنقل والتعامل مع الجهاز المخترق على الفاعل. يمكّن الوصول إلى واجهة المستخدم الرسومية الكاملة المهاجم من مراقبة أنشطة المستخدم ، والوصول إلى المعلومات الحساسة ، وتنفيذ الإجراءات المنسوبة إلى المستخدم الشرعي ، مما يؤكد بشكل أكبر على ضرر LOBSHOT.

التخفيف والمخاوف

تمثل برامج LOBSHOT الضارة مخاوف كبيرة لكل من المستخدمين الأفراد والمؤسسات ، نظرًا لقدراتها الخفية في VNC وارتباطها بالجهات الفاعلة في مجال التهديد بدوافع مالية مثل TA505. يتضمن التخفيف ومعالجة هذه المخاوف فهم المخاطر المحتملة وتنفيذ التدابير الدفاعية المناسبة ، فضلاً عن الدعوة إلى لوائح أكثر صرامة على الأنظمة الأساسية مثل إعلانات Google.

سرقة المعلومات المصرفية والمالية

أحد الاهتمامات الأساسية المحيطة بـ LOBSHOT هو قدرته على سرقة المعلومات المصرفية والمالية من الأجهزة المصابة. يتيح وصول VNC المخفي للمهاجمين التسلل إلى الأجهزة التي لم يتم اكتشافها ومراقبة أنشطة المستخدم والتقاط البيانات الحساسة مثل بيانات اعتماد تسجيل الدخول وأرقام الحسابات وتفاصيل المعاملات. يمكن استغلال هذه المعلومات لتحقيق مكاسب اقتصادية أو استخدامها في مزيد من الهجمات ، مثل حشو بيانات الاعتماد أو حملات التصيد الاحتيالي.

دعوات إلى تنظيم إعلان أكثر صرامة على Google

استجابةً للتهديد المتزايد لتوزيع البرامج الضارة عبر إعلانات Google ، دعا العديد من الباحثين والمتخصصين في مجال الأمن شركة Alphabet ، الشركة القابضة لشركة Google ، إلى فرض لوائح أكثر صرامة على الموافقة على الإعلانات. يمكن أن يساعد تنفيذ عمليات فحص إعلانات وآليات تحقق أكثر قوة في تقليل انتشار البرامج الضارة مثل LOBSHOT وتقليل مخاطر وقوع المستخدمين المطمئنين ضحية لمثل هذه التهديدات. في غضون ذلك ، يجب على المستخدمين النهائيين اتخاذ الاحتياطات من خلال التحقق من شرعية المجال الذي يقومون بزيارته والبرنامج الذي يقومون بتنزيله.

جار التحميل...