في تطور حبكة يبدو وكأنه خرج مباشرة من فيلم إثارة عبر الإنترنت، قام أحد ممثلي التهديد بنشر أداة إنشاء البرامج الضارة المزيفة—نسخة ترويانية من دودة الجرذ-تستهدف على وجه التحديد هؤلاء المتسللين المتحمسين ولكن عديمي الخبرة الذين يتطلعون إلى ترك بصمتهم. وفقًا لـ كلاود سيك، نجح هذا المخطط المخادع في إصابة شخص ضخم 18,459 الأجهزة في جميع أنحاء العالم، مع النقاط الساخنة في روسيا والولايات المتحدة والهند وأوكرانيا وتركيا.
«إنه يستهدف بشكل خاص أطفال البرامج النصية الجدد في مجال الأمن السيبراني» مما يسلط الضوء على سخرية هؤلاء المتسللين المتمنين الذين يقعون ضحية للأدوات ذاتها التي سعوا إلى استخدامها.
كيف تنتشر العدوى
تم توزيع البرامج الضارة من خلال قنوات مختلفة - مستودعات GitHub ومواقع استضافة الملفات وقنوات Telegram ومقاطع فيديو YouTube وحتى مواقع الويب غير الواضحة. وعدت هذه المصادر برحلة مجانية إلى اختراق المجد، مما يسمح للمستخدمين باستخدام البرامج الضارة دون إنفاق عشرة سنتات. لم يعرفوا أنهم كانوا يسجلون للحصول على تذكرة ذهاب فقط لتقديم تنازلات!
بمجرد التثبيت، أجرى برنامج XWorm الضار فحصًا سريعًا لسجل Windows للتأكد من عدم تشغيله في بيئة افتراضية (خطوة ذكية!). إذا كان الساحل واضحًا، فقد أجرى التعديلات اللازمة لضمان قدرته على البقاء لفترة طويلة - تحدث عن الالتزام!
الجانب المظلم من القيادة والتحكم
كل جهاز مصاب متصل بـ خادم الأوامر والتحكم (C2) المستند إلى Telegram باستخدام معرف بوت مشفر ورمز مميز. ما تبع ذلك كان كنزًا دفينًا من سرقة البيانات، حيث قامت البرامج الضارة بسرقة رموز Discord ومعلومات النظام وبيانات الموقع (شكرًا، عنوان IP!). يمكن للمشغلين إصدار أمر مذهل 56 أمرًا، وبعضها كان شريرًا تمامًا:
· /machine_id *المتصفحات - انتزع كلمات المرور المحفوظة وملفات تعريف الارتباط وبيانات الملء التلقائي.
· /machine_id *كيلوجر - سجل كل ضغطة مفتاح (yikes!).
· /machine_id *سطح المكتب - التقط شاشة الضحية في الوقت الفعلي.
· /تشفير معرف الجهاز <password> - قفل جميع الملفات بكلمة مرور.
· /مهارة معالجة معرف الآلة <process> - إنهاء عمليات محددة، بما في ذلك برامج الأمان.
<file>· /تحميل الآلة - قم بإزالة الملفات من النظام المصاب.
· /machine_id *إلغاء التثبيت - قم بإزالة البرامج الضارة (إذا كنت محظوظًا!).
تم الإبلاغ عن أن مشغلي البرامج الضارة تمكنوا من استخراج البيانات من حوالي 11% للأجهزة المصابة، والتي تلتقط في الغالب لقطات شاشة وبيانات المتصفح.
تعطيل الروبوتات
لكن لا تخف! استخدم الباحثون من CloudSek رموز API المشفرة والمدمجة مفتاح القتل لإرسال أمر إلغاء التثبيت الشامل إلى جميع عملاء الاستماع. من خلال تصفح المعرفات المعروفة المستخرجة من سجلات Telegram ومعرفات القوة الغاشمة من 1 إلى 9999، نفذوا عملية إزالة رقمية جماعية.
في حين تم تحرير العديد من الأجهزة من براثن البرامج الضارة، ظلت بعض الأرواح المؤسفة معرضة للخطر، خاصة تلك التي كانت غير متصلة بالإنترنت أثناء تسليم الأمر. الدرس المستفاد: تحديد معدل تيليجرام يمكن أن يكون شخصًا حقيقيًا للحفلات!
لا تثق بأحد!
تُعد هذه القصة بمثابة تذكير صارخ بأن الثقة هي سلعة نادرة في عالم القرصنة. لا تثق أبدًا في البرامج غير الموقعة، خاصة تلك التي يوزعها مجرمو الإنترنت الآخرون. إذا كنت تعمل في مجال إنشاء البرامج الضارة، فتأكد من القيام بذلك في بيئة اختبار آمنة - سوف يشكرك جهاز الكمبيوتر الخاص بك!
تذكر أن أفضل دفاع ضد الجرائم الإلكترونية هو المعرفة!
.png)
.png)