يخفي القراصنة البرمجيات الخبيثة في الصور من مواقع الويب الموثوقة

تسلط تقرير جديد من HP Wolf Security الضوء على التطورات المقلقة في تكتيكات توصيل البرامج الخبيثة، بما في ذلك تضمين الرموز الخبيثة داخل صور بريئة الظاهر والمُستضافة على منصات شرعية.

تتضمن أحد النتائج البارزة حملات البرمجيات الخبيثة التي تضمنت تعليمات برمجية ضارة في ملفات الصور. تم تحميل هذه الصور على موقع archive.org، وهو موقع مشاركة ملفات موثوق به، لتجنب الشك. من خلال القيام بذلك، استطاع الهاكرز التسلل خلف التدابير الأمنية المشتركة، مثل فلاتر الشبكة، التي تعتمد في كثير من الأحيان على سمعة الموقع.

تم نشر نوعين من البرامج الخبيثة باستخدام هذه التكتيكات: VIP Keylogger و 0bj3ctivityStealer. تم تصميم كلاهما لسرقة المعلومات الحساسة مثل كلمات المرور وتفاصيل بطاقات الائتمان.

أرسل القراصنة رسائل بريد إلكتروني تتظاهر بأنها فواتير أو أوامر شراء لخداع الشركات وجعلها تقوم بتنزيل المرفقات الخبيثة. تحتوي هذه المرفقات على ملفات تتسبب، عند فتحها، في إطلاق سلسلة من التفاعلات.

تتضمن العملية تنزيل ملف صورة يبدو غير ضار من archive.org. كان مخفيًا داخل الصورة برنامج ضار مشفر، الذي سيقوم بتثبيت نفسه بعد ذلك على جهاز الضحية.

شوهدت صورة مرتبطة بهذه الحملة ما يقرب من 29,000 مرة، مما يلمح إلى حجم الهجوم الكبير.

بمجرد تنزيل الصورة، يستخرج ويفك تشفير البرمجة الخبيثة المخفية داخلها جزء من الكود. تعمل البرمجة الخبيثة بعد ذلك على جهاز الضحية، حيث تقوم بتسجيل الضغطات على المفاتيح، وسرقة كلمات المرور، وحتى التقاط لقطات للشاشة. لجعل الهجوم مستمرًا، تقوم البرمجة الخبيثة بتعديل سجل الكمبيوتر، مما يضمن بدء تشغيلها في كل مرة يتم فيها تشغيل الكمبيوتر.

يذكر التقرير أن هذه الطريقة في إخفاء الرموز الخبيثة في الصور فعالة بشكل خاص لأنها تستغل المنصات الشرعية، مما يجعلها أكثر صعوبة لأدوات الأمان التقليدية لاكتشافها.

أضاف الباحثون أن هذه الحوادث تسلط الضوء على فعالية إعادة استخدام أدوات البرامج الضارة ومكوناتها، حيث استخدمت كلا الحملتين نفس محمل .NET لتثبيت حمولاتهما المختلفة. لم يكن هذا النهج الشامل فقط يعمل على تبسيط عملية التطوير بالنسبة للجهات الفاعلة المهددة، ولكنه أيضًا سمح لهم بالتركيز على تحسين الأساليب لتجنب الكشف.

ليست تضمين الكود الخبيث في الصور تكتيكًا جديدًا، ولكنه يمثل ظهورًا مجددًا في شعبيته بسبب التقدم في أساليب التعتيم والتسليم. يشدد التقرير على الحاجة إلى تحسين حماية النقاط النهائية وتدريب الوعي للموظفين لمواجهة هذه التهديدات المتقدمة.

مع استمرار مجرمي الإنترنت في الابتكار، واستغلال الأدوات والمنصات الشرعية، يعد التقرير تذكيرًا صارخًا بتطور المشهد الخطر للتهديدات الإلكترونية. يجب على فرق الأمان أن تظل يقظة، وتتبنى التدابير الاستباقية، وتبقى على اطلاع للتخفيف من المخاطر التي تشكلها هذه التهديدات الناشئة.