StyleServ
يتم تصنيف StyleServ كنوع من البرامج الضارة المعروفة باسم الباب الخلفي، والتي تؤدي دورًا محددًا في عالم التهديدات السيبرانية. تم تصميم البرامج الضارة من نوع الباب الخلفي خصيصًا لأداء وظيفة ذات شقين: أولاً، تقوم بتجهيز النظام المخترق لإجراء عمليات تسلل أكثر شمولاً، وثانيًا، تسهل تنفيذ المراحل اللاحقة من الإصابة. غالبًا ما تتضمن هذه المراحل اللاحقة تنزيل وتثبيت برامج أو مكونات إضافية غير آمنة على النظام المصاب.
في حالة StyleServ، فإن الأهداف المحددة التي تسعى لتحقيقها يكتنفها حاليًا عدم اليقين. ومع ذلك، فمن المحتمل جدًا أن تكون وظيفتها الأساسية هي العمل كأداة تحضيرية في سياق استراتيجية أوسع للهجوم السيبراني. يشير هذا إلى أن الدور الأساسي لـ StyleServ هو تهيئة الظروف اللازمة لأشكال أكثر تقدمًا من البرامج الضارة للتسلل إلى النظام المستهدف واختراقه بشكل أكبر.
قد يكون لعدوى StyleServ عواقب وخيمة
من المحتمل جدًا أن يلعب StyleServ دورًا حاسمًا في سياق الشبكات المخترقة، وذلك في المقام الأول عن طريق إجراء عمليات فحص لتحديد المعلومات التي يمكن استغلالها لتعزيز الهجوم. يتضمن ذلك تحديد نقاط الضعف الحالية والبيانات الأخرى ذات الصلة. تلعب هذه الأدوات دورًا أساسيًا في الهجمات المستهدفة، لا سيما تلك التي تتميز بقدرتها على التكيف، لأنها تعتمد بشكل كبير على الخصائص الفريدة للهدف ووضعه الأمني.
من المعروف أن إصابات StyleServ تستخدم تقنية تسمى التحميل الجانبي لـ DLL. تستفيد هذه الطريقة من آلية ترتيب بحث Windows DLL، مما يسمح للبرامج الضارة باستخدام برنامج شرعي كوسيلة لتنفيذ حمولتها الضارة، مثل StyleServ. عادةً ما يتم استخدام هذا الباب الخلفي في الهجمات السلبية، والتي تتميز بتركيزها على مراقبة النظام. يمكن أن يشمل نشاط المراقبة هذا مهام مثل فحص الثغرات الأمنية وفحص المنافذ.
في الهجمات السلبية، يختلف مستوى التفاعل مع النظام المخترق. يتطلب بعضها الحد الأدنى من التفاعل، بينما يشارك البعض الآخر في الاستطلاع النشط. ومن الأمثلة البارزة على الاستطلاع النشط مسح المنافذ، والذي يهدف إلى جمع معلومات استخباراتية حول عمليات الشبكة. وعلى وجه التحديد، يهدف إلى اكتشاف نقاط الضعف المتاحة والسبل المحتملة للتسلل بشكل أعمق.
ضمن آلية العدوى الخاصة بـ StyleServ، بمجرد تنفيذ ملف DLL، فإنه يبدأ في إنشاء خمسة سلاسل رسائل، يتم تعيين كل منها لمنفذ مختلف. تحاول هذه المواضيع بشكل دوري الوصول إلى ملف بعنوان "stylers.bin" على فترات زمنية مدتها 60 ثانية. يتم تحديد صلاحية الملف بناءً على توفره والتزامه بمعايير محددة.
إذا اعتبر الملف صالحًا، فسيتم استخدامه في طلبات الشبكة لسلاسل العمليات اللاحقة. الهدف الأساسي من هذه المواضيع هو مراقبة الأنشطة على مآخذ الشبكة. وبالتالي، تعمل هذه الخيوط كإصدارات مشفرة من "stylers.bin" وتعمل كمستقبلات للاتصالات عن بعد.
نواقل العدوى النموذجية التي يستخدمها مجرمو الإنترنت
لا تزال الطريقة المحددة لانتشار StyleServ غير معلنة في الوقت الحاضر. يعتمد توزيع البرامج الضارة عادة على أساليب التصيد الاحتيالي والهندسة الاجتماعية، خاصة بين الجهات الفاعلة في مجال التهديد المتطورة التي تستخدم الهجمات والإغراءات المستهدفة.
غالبًا ما يتم إخفاء برامج التهديد هذه داخل برامج عادية أو ملفات وسائط أو مجمعة بجانبها. ويمكن أن تظهر بتنسيقات مختلفة، بما في ذلك الملفات القابلة للتنفيذ والمحفوظات مثل ZIP أو RAR والمستندات ورمز JavaScript والمزيد.
تشمل تقنيات التوزيع الأكثر شيوعًا ما يلي: إدراج مرفقات أو روابط احتيالية في رسائل البريد الإلكتروني العشوائية أو الرسائل المباشرة أو الرسائل الخاصة أو الرسائل النصية؛ التنزيلات الخفية والخادعة من خلال محرك الأقراص؛ التكتيكات عبر الإنترنت؛ الإعلانات الضارة، والتي تتضمن حملات إعلانية خادعة؛ مصادر التنزيل المشكوك فيها مثل مواقع استضافة الملفات غير الرسمية والمجانية وشبكات المشاركة من نظير إلى نظير؛ أدوات تنشيط البرامج غير المشروعة مثل "الكراك"؛ وتحديثات البرامج المزيفة.
علاوة على ذلك، تمتلك بعض البرامج الضارة القدرة على الانتشار الذاتي عبر الشبكات المحلية وأدوات التخزين القابلة للإزالة، بما في ذلك محركات أقراص USB المحمولة ومحركات الأقراص الثابتة الخارجية. وهذا يؤكد المجموعة المتنوعة من الاستراتيجيات التي يستخدمها مجرمو الإنترنت لنشر البرامج الضارة.
