استخدموا فيها فيروسي «التشفير والفدية» و«حصان طروادة»

قراصنة يشنون هجمة جديدة بـ «كورونا» لسرقة الأموال والبيانات

الهجمة الجديدة تُعد الثالثة منذ بداية مارس الماضي التي يستخدم فيها قراصنة «كورونا». أرشيفية

كشف خبراء في أمن المعلومات، عن شن مجموعات محترفة من القراصنة والمهاجمين، هجمة أمنية جديدة واسعة النطاق، تقوم على المسح العشوائي لحاسبات المستخدمين حول العالم، موضحين أن الهجمة الجديدة تعتبر من الهجمات المزدوجة، حيث يُستخدم فيها نوعان من الفيروسات، الأول ينتمي لفيروسات التشفير والفدية، ويهاجم السجل الرئيس لبدء التشغيل بالحاسب، ويمنع تشغيله إلا بعد دفع فدية قدرها 50 دولاراً، فيما النوع الثاني فيروس من فئة «حصان طروادة» يخفي بداخله برمجية «كيه بوت» الخبيثة، شائعة الاستخدام في عمليات سرقة البيانات والأموال والحسابات البنكية.

وأشار الخبراء إلى أن هذه هي المرة الثالثة منذ بداية مارس الماضي، التي يستخدم فيها قراصنة محترفون اسم فيروس «كورونا»، في شن هجمات أمنية ضد مستخدمي الإنترنت حول العالم، مبينين أن الهجمتين السابقتين اقتصرتا على عمليات التصيد الاحتيالي، والبريد الخداعي.

واستطاعت فرق عدة في أمن المعلومات رصد الهجمة الجديدة، والإعلان عنها أمس، كان من بينها فريق أمني في شركة «بليبنغ كمبيوتر» المتخصصة في أمن المعلومات، وفريق مشترك من خبراء شبكة «زد دي نت» المتخصصة في تقنية المعلومات، ومجتمع «إنفو سيك» لأمن المعلومات، وهو تجمع من خبراء أمن المعلومات المستقلين على الإنترنت، منهم باحث أمني شهير يطلق على نفسه اسم ميل وير هنتر تيم.

«كوفيد - 19»

وكان مجتمع خبراء «إنفو سيك» والباحث الأمني، ميل وير هنتر تيم، الأسبق في رصد وكشف الفيروس الأول المستخدم في هذه الهجمة، حيث تم رصد ما لا يقل عن خمس سلالات من هذا الفيروس، بعضها تم نشره بالفعل عبر الإنترنت، والبعض الآخر لايزال ضمن قائمة الفيروسات المعلنة في منتديات القراصنة، حيث كان القاسم المشترك بينها جميعها أنها تحمل اسم فيروس «كوفيد - 19»، الذي يعد للتدمير والتشفير وليس الكسب المالي وسرقة البيانات.

السجل الرئيس

وتبين للباحثين أن السلالة الأكثر خطورة هي المخصصة لاستهداف السجل الرئيس لبدء التشغيل بالحاسب، المعروف باسم «إم بي آر»، إذ تقوم هذه السلالة من الفيروس بحذف محتويات هذا السجل، ثم إعادة كتابتها من جديد، بما يتناسب مع طبيعة الفيروس وأهدافه، وهي مهمة تحتاج إلى معرفة تقنية متقدمة، لأن التعديل في هذا السجل ليس بالأمر السهل، ويؤدي تلقائياً إلى إعاقة تشغيل الجهاز منذ البداية، لكون السجل موجوداً على قطاع من وحدة التخزين تم تقسيمه منذ البداية، ليعمل عليه نظام التشغيل عند بدء التشغيل أو ما يعرف بعملية «الإقلاع»، ومن ثم فإن الكود الموجود في هذا السجل، هو القادر على فهم تقسيمة وحدة التخزين، وكيفية تشغيلها في لحظة البدء.

مرحلتان

واكتشف الخبراء أن الإصابة بالفيروس تتم على مرحلتين، الأولى يقوم فيها الفيروس بعرض نافذة مزعجة أمام المستخدم، لا يمكن للمستخدم إغلاقها، لأن الفيروس يكون في هذه الحالة قد قام بتعطيل إدارة المهام في نظام «ويندوز»، مشيرين إلى أنه في الوقت الذي يحاول فيه المستخدم التعامل مع هذه النافذة، يكون الفيروس قام بإعادة كتابة السجل الرئيس لبدء التشغيل والتعديل عليه، بصمت من دون أن يدرك المستخدم ذلك.

وأضافوا أنه حينما يغلق المستخدم الحاسب، أو إعادة تشغيله، تبدأ المرحلة الثانية من الإصابة، حيث تظهر شاشة جديدة عند بدء تشغيل الحاسب، تحبس الجهاز والمستخدم عند هذه النقطة، ولا يستطيع الحاسب إكمال عملية التشغيل، وهنا يعمل الفيروس وكأنه أحد فيروسات التشفير والفدية، إذ يطلب من المستخدم دفع فدية مقدارها 50 دولاراً، مقابل تحرير الحاسب وجعله يواصل العمل.

مزاح

وبحسب الخبراء فإن الفيروس ظهر في الصين أولاً، وعلى الأرجح استهدف مستخدمين صينيين، كما تم تحميله على بوابة «فيروس توتال» الشهيرة للفيروسات، من قبل شخص موجود في إيطاليا.

ووجد الباحثون الكثير من السلالات الأخرى الضعيفة، التي تم تطويرها بأساليب غير فعالة ومعرضة للخطأ، وتستهلك الكثير من الوقت لمسح الملفات، ما يشير إلى أن البعض منها تم إنشاؤه على سبيل المزاح، أو قتل الملل، أو للتمويه وإخفاء السلالات الخطرة الأساسية، على غرار ما حدث خلال انتشار فيروس «وانا كراي» للتشفير والفدية عام 2017.

غموض

وكشفت تحليلات الخبراء عن بعض الغموض والارتباك في أداء هذا الفيروس، موضحين أنه على سبيل المثال، وجد أنه يقوم بمسح الملفات الموجودة بالحاسب، لكنه لا يبدو نشطاً أو فعالاً في تشفيرها وتكويدها، كما وجدوا أن بعض السلالات كان لديها قدرة إعادة كتابة وتغيير السجل الرئيس لبدء التشغيل، وخاصية مسح الملفات وتشفيرها، لكنها اكتفت بإظهار شاشة قفل الحاسب عند بدء التشغيل.


سيناريو الهجمة

أوضح الباحثون أن سيناريو الهجمة المزدوجة، يبدأ بإنشاء المهاجمين موقعاً ينتحل هوية موقع أدوات نظام «ويندوز» الحقيقي، وعنوانه: (WiseCleaner.com)، وهو أحد المواقع الموثوق بها والمستخدمة في الحصول على ملفات مفيدة لـ«ويندوز». وأضافوا أن من يقوده حظه العاثر للوصول إلى الموقع الوهمي، سيجد فيه ملفات غير نشطة، لكنّ هناك ملفاً نشطاً باسم (WSHSetup.exe) معروضاً على أنه أحد ملفات «ويندوز» المهمة، لكنه في الحقيقة يتضمن الفيروسين المستخدمين في الهجمة المزدوجة، وهما فيروس التشفير والفدية، وحصان طروادة الذي يحتوي برمجية «كيه بوت».

طباعة