تعرف على البرامج الضارة التي تستحوذ على متصفحك

بسم الله الرحمن الرحيم

الصلاة والسلام على اشرف المرسلين صلى الله عليه وسلم 

السلام عليكم ورحمة الله

تعرف على البرامج الضارة التي تستحوذ على متصفحك

 وتعيد توجيهك إلى صفحات مزيفة
يتم حاليًا توزيع البرامج الضارة من خلال مجموعة أدوات استغلال RIG.


وقد تم تطويع مجموعة أدوات استغلال RIG ، التي بلغ معدّل إصابة 27،000 جهاز في اليوم في المتوسط ​​، باستخدام أداة جديدة مصممة لاختطاف جلسات التصفح.


تم توزيع البرامج الضارة المعنية ، وهي مجموعة جذرية تسمى CEIDPageLock ، من خلال المجموعة التي تم استغلالها في الأسابيع الأخيرة.

وفقا لباحثين من Check Point ، تم اكتشاف الجذور الخفية لأول مرة في البرية منذ عدة أشهر.

تم اكتشاف CEIDPageLock عندما حاولت العبث بمتصفح الضحية. كانت البرمجيات الخبيثة تحاول تحويل صفحتهم الرئيسية إلى 2345.com ، وهو دليل صيني شرعي للتنبؤات الجوية ، والقوائم التلفزيونية ، وغير ذلك.

يقول الباحثون إن CEIDPageLock متطور لخاطف المستعرض ، وقد حصل الآن على أداة مساعدة ملحوظة من أجل RIG على تحسينات "ملحوظة".

ومن بين الإضافات الجديدة وظيفة تسمح بمراقبة أنشطة تصفح المستخدم ، إلى جانب القدرة على تغيير عدد من مواقع الويب التي تحتوي على صفحات رئيسية مزيفة.

تستهدف البرامج الضارة أنظمة Microsoft Windows. الثاقب يستخرج برنامج تشغيل وضع kernel 32 بت الذي تم حفظه في الدليل المؤقت Windows باسم "houzi.sys." أثناء التوقيع .
عند تنفيذ برنامج التشغيل ، مخفيًا بين برامج التشغيل القياسية أثناء الإعداد ، يقوم القطّار بعد ذلك بإرسال عنوان MAC الخاص بالمستخدم الضحية ومعرف المستخدم إلى نطاق خبيث يتم التحكم فيه بواسطة خادم الأوامر والتحكم (C & C). ثم يتم استخدام هذه المعلومات عندما يبدأ الضحية في التصفح لتنزيل تكوين الصفحة الرئيسية الخبيثة المطلوبة.

TechRepublic: Exclusive:
 يمكن للكشف عن البرامج الضارة الجديدة عبر البريد الإلكتروني أن يتفوق على أفضل 60 محركًا لمكافحة الفيروسات

إذا تم إعادة توجيه الضحايا من خدمات مشروعة إلى خدمات احتيالية ، فقد يؤدي هذا إلى تهديد الجهات الفاعلة بالحصول على أوراق اعتماد الحساب ، وإصدار الضحايا للحمولات الضارة ، بالإضافة إلى جمع البيانات دون موافقة.

"ثم يستخدمون المعلومات بأنفسهم لاستهداف حملاتهم الإعلانية أو بيعها إلى الشركات الأخرى التي تستخدم البيانات لتركيز محتوى التسويق الخاص بهم" ، كما يقول الفريق.
كما أن أحدث نسخة من برنامج rootkit ممتلئة أيضًا بـ VMProtect ، والتي تقول Check Point أنها تجعل تحليل البرامج الضارة أكثر صعوبة. بالإضافة إلى ذلك ، تمنع البرامج الضارة المتصفحات من الوصول إلى ملفات حلول مكافحة الفيروسات.

يبدو أن CEIDPageLock يركز على الضحايا الصينيين. معدلات العدوى في الآلاف للمقاطعة ، وبينما سجلت نقطة التفتيش 40 إصابة في الولايات المتحدة ، يعتبر انتشار البرمجيات الخبيثة "لا يكاد يذكر" خارج الصين.

"للوهلة الأولى ، قد تبدو كتابة الجذور الخفية التي تعمل كخاطف متصفح واستخدام وسائل حماية متطورة مثل VMProtect  ، تقول Check Point. "قد يبدو CEIDPageLock مجرد مزعج وخطير للغاية ، والقدرة على تنفيذ التعليمات البرمجية على جهاز مصاب أثناء التشغيل من النواة ، إلى جانب استمرار وجود البرمجيات الخبيثة ، يجعلها خلفية مستطيلة محتملة".

ووفقاً لتريند مايكرو ، لا تزال مجموعات الاستغلال تحقق نجاحات في مجال الأمن السيبراني. تظل RIG هي الأكثر نشاطًا ، يليها GrandSoft و Magnitude.