متسللون يستغلون تطبيق “تليغرام” مزيف لتهديد مستخدمي نظام ويندوز

تستخدم آخر حيل القراصنة تطبيق المراسلة الشهير “تليغرام” (Telegram) لتثبيت برمجيات “طروادة” (Torjan) الخبيثة لاختراق الأنظمة العاملة على نظام “ويندوز” (Windows).
وتقوم برمجيات طروادة بتثبيت ثغرة أو كما يعرف تقنيا بالباب الخلفي والذي يكون في العادة مخفيا ويمكّن المتسللين من الدخول والخروج على أنظمة المستخدمين والتجسس عليهم، بل وتعطيل أجهزتهم.
ويصف بحث جديد نشرته “منيرفا لابس” (Minerva Labs) الهجوم بأنه مختلف عن الهجمات الأخرى التي تستغل عادة البرامج الشهيرة لإطلاق برمجيات ضارة.
وتكمن قوة هذا التهديد في إبقاء معظم الهجوم مخفيا من خلال تقسيم الهجوم إلى عدة ملفات صغيرة، كان معظمها صعب اكتشافه بواسطة برامج مكافحة الفيروسات، وكانت الخطوة الأخيرة في الهجوم هي إنشاء باب خلفي يسمى “بربل فوكس روت كت” (Purple Fox rootkit)، وفق ما تقوله الباحثة ناتالي زارغاروف.
وتم اكتشاف “بربل فوكس” لأول مرة في 2018، وهو يأتي مزودا بإمكانيات تسمح بزرع البرامج الضارة من دون أن تلاحظه البرامج الأمنية.
وسرد تقرير صادر عن مؤسسة “غارديكور” (Guardicore) الأمنية تفاصيل حول ميزات هذا الباب الخلفي، مما يتيح له الانتشار بسرعة أكبر.
وأشار الباحثون إلى أن “قدرات الجذور الخفية بـ”بربل فوكس” تجعلها أكثر قدرة على تحقيق أهدافها بطريقة أكثر تخفيا، كما تسمح له بالاستمرار في الأنظمة المتأثرة”.
وتبدأ سلسلة الهجمات الجديدة التي لاحظتها منيرفا بملف مثبت لبرنامج تليغرام، وهو برنامج يقوم بتثبيت تطبيق الدردشة، ومعه يكمن برنامج تنزيل ضار يسمى “تيكست إنبت أتش” (TextInputh)، وبعد تثبيته يقوم هذا البرنامج بتنزيل البرامج الضارة الأخرى من خادم المهاجم.
ثم تحظر هذه البرامج التي تم تنزيلها العمليات المرتبطة ببرامج مكافحة الفيروسات المختلفة، قبل الانتقال إلى الخطوة الأخيرة لتنزيل وتشغيل برنامج “ربل فوكس روت كت” من خادم بعيد.

شارك

تصنيفات: تكنولوجيا