السلام وعليكم ورحمة الله تعالى و بركاته كل متابعي مدونة مبدع التقنية ٬ أفاد باحثوا كاسبرسكي لاب بوجود برمجية خبيثة جديدة تعمل على النظام أندرويد يتم توزيعها من خلال أسلوب إحكام السيطرة على أنظمة أسماء النطاقات (DNS) وتستهدف في الأساس الهواتف الذكية في بلدان آسيا والشرق الأوسط ..
وواصل التهديد الإلكتروني تقدّمه بعد مرور خمسة أسابيع موسِّعاً نطاقه الجغرافي ليشمل أوروبا وآسيا والشرق الأوسط، مضيفاً خيار التصيّد في استهدافه للأجهزة التي تعمل بنظام التشغيل iOS واستغلاله لقدرات تعدين العملات الرقمية في الحواسيب الشخصية, وقد تمّ تصميم الحملة الهجومية، التي أطلق عليها اسم Roaming Mantis في الأساس لسرقة معلومات المستخدمين التي تشمل بيانات اعتماد الدخول للأنظمة ومنح المهاجمين القدرة على التحكم الكامل بالأجهزة المخترقة والسيطرة عليها ويعتقد الباحثون أن الجهة الكامنة وراء هذه العملية والباحثة منها عن مكاسب مالية هي عصابة جرائم إلكترونية ناطقة إمّا باللغة الكورية أو الصينية ..
طريقة الهجوم :
تشير نتائج Kaspersky Lab إلى أن جهة الهجوم الكامنة وراء حملة Roaming Mantis تبحث عن أجهزة توجيه ضعيفة ليتم إحكام السيطرة عليها لاختراق الأنظمة وتوزيع البرمجيات الخبيثة من خلال خدعة بسيطة لكنها فعالة للغاية، تتمثل بالتحكّم بإعدادات DNS الخاصة بأجهزة التوجيه المصابة، إلاّ أن طريقة اختراق أجهزة التوجيه ما زالت غير معروفة. وبمجرد أن تنجح السيطرة على نظام DNS، فإن أية محاولة من جانب المستخدمين للوصول إلى أي موقع ويب سوف تؤدي بهم إلى عنوان ويب ذي مظهر أصلي ولكن بمحتوى مزور يأتي من خادم تابع للجهة المهاجِمة. ويتضمن هذا المحتوى طلباً بتحديث متصفح الويب Chrome كالتالي: " To better experience the browsing, update to the latest chrome version of Chrome " ( إحرص على أن تحصل على أحدث إصدار من Chrome للاستمتاع بتجربة التصفح بشكل أفضل ). ويؤدي النقر على هذا الرابط إلى بدء تثبيت تطبيق تروجان باسم facebook.apk أو chrome.apk، يحتوي على منفذ خلفي لدخول المهاجمين إلى النظام أندرويد ..
وتتحقق برمجية Roaming Mantis الخبيثة مما إذا كان نظام أندرويد قد خضع لتغييرات جذرية، فتطلب إذناً بإشعاره بأية اتصالات أو أنشطة تصفح يقوم بها المستخدم، كما أنها قادرة على جمع مجموعة واسعة من البيانات، تشمل بيانات الاعتماد الخاصة بالدخول إلى الأنظمة عبر المصادقة الثنائية. كما أن اهتمام الجهة المهاجمة بهذا الأمر، بجانب حقيقة أن جزءاً من شيفرة هذه البرمجية الخبيثة يتضمن إشارات مرجعية لخدمات مصرفية نقالة وهويّات خاصة بتطبيقات ألعاب شائعة في كوريا الجنوبية، يوحي بوجود دافع مالي محتمل وراء هذه الحملة.
تشير نتائج Kaspersky Lab إلى أن جهة الهجوم الكامنة وراء حملة Roaming Mantis تبحث عن أجهزة توجيه ضعيفة ليتم إحكام السيطرة عليها لاختراق الأنظمة وتوزيع البرمجيات الخبيثة من خلال خدعة بسيطة لكنها فعالة للغاية، تتمثل بالتحكّم بإعدادات DNS الخاصة بأجهزة التوجيه المصابة، إلاّ أن طريقة اختراق أجهزة التوجيه ما زالت غير معروفة. وبمجرد أن تنجح السيطرة على نظام DNS، فإن أية محاولة من جانب المستخدمين للوصول إلى أي موقع ويب سوف تؤدي بهم إلى عنوان ويب ذي مظهر أصلي ولكن بمحتوى مزور يأتي من خادم تابع للجهة المهاجِمة. ويتضمن هذا المحتوى طلباً بتحديث متصفح الويب Chrome كالتالي: " To better experience the browsing, update to the latest chrome version of Chrome " ( إحرص على أن تحصل على أحدث إصدار من Chrome للاستمتاع بتجربة التصفح بشكل أفضل ). ويؤدي النقر على هذا الرابط إلى بدء تثبيت تطبيق تروجان باسم facebook.apk أو chrome.apk، يحتوي على منفذ خلفي لدخول المهاجمين إلى النظام أندرويد ..
وتتحقق برمجية Roaming Mantis الخبيثة مما إذا كان نظام أندرويد قد خضع لتغييرات جذرية، فتطلب إذناً بإشعاره بأية اتصالات أو أنشطة تصفح يقوم بها المستخدم، كما أنها قادرة على جمع مجموعة واسعة من البيانات، تشمل بيانات الاعتماد الخاصة بالدخول إلى الأنظمة عبر المصادقة الثنائية. كما أن اهتمام الجهة المهاجمة بهذا الأمر، بجانب حقيقة أن جزءاً من شيفرة هذه البرمجية الخبيثة يتضمن إشارات مرجعية لخدمات مصرفية نقالة وهويّات خاصة بتطبيقات ألعاب شائعة في كوريا الجنوبية، يوحي بوجود دافع مالي محتمل وراء هذه الحملة.
وتوصي شركة Kaspersky Lab باتخاذ الإجراءات التالية لحماية اتصال الإنترنت الخاص من هذا التهديد :
- الرجوع إلى دليل استخدام جهاز التوجيه للتحقق من عدم التلاعب في إعدادات نظام أسماء النطاقات DNS، أو الاتصال بمقدم خدمة الإنترنت للحصول على الدعم.
- تغيير بيانات الدخول الأولية لواجهة الويب الخاصة بإدارة جهاز التوجيه مع تحديث برمجية تشغيله من المصدر الرسمي بانتظام.
- عدم تثبيت برمجية تشغيل جهاز التوجيه من مصادر أخرى غير المصدر الرسمي مطلقاً، وتجنُّب استخدام المستودعات البرمجية لأنظمة أندرويد والتي تتبع أطرافاً خارجية.
- التحقق دائماً من المتصفح وعناوين مواقع الويب للتأكد من شرعيتها، مع الحرص على البحث عن علامات مثل https عند طلب إدخال البيانات.
- تثبيت حل أمني للجهاز المحمول، لحماية الأجهزة من هذه التهديدات وغيرها.. وسوف تجدها هنا أفضل برامج الحماية ;)
حماكم الله من كل شر إلى تدوينة قادمة إن شاء الله ⟳
إرسال تعليق