أفاد باحثون تابعون لشركة “إي ست” السلوفاكية لأمن المعلومات أنهم اكتشفوا برمجية خبيثة تحمل اسم “ستيغانو” تستهدف مستخدمي متصفح إنترنت إكسبلورر على الحواسيب الشخصية.
وعلى الرغم من أن مستخدمي هذا المتصفح ينكمشون يوماً بعد يوم إبان ظهور نظام ويندوز 10 الذي يعتمد متصفح “إيدج” الجديد، فإن هذه البرمجية تظهر مدى براعة المخترقين في تمرير إعلانات ضارة تتجاوز الشبكات الكبرى، ومن ثم إخفاء البرمجية الخبيثة من الاكتشاف.
البرمجية كانت تعمل بسرية في الماضي
ويقول الباحثون إن هذه البرمجية كانت تعمل بسرية خلال العامين الماضيين دون أن يكتشفها أحد، وتستهدف بشكل خاص خدمات الدفع والعمليات المصرفية للشركات.
بدء الهجوم بإعلانات ملوثة ببرمجية جافا
ويبدأ الهجوم عادة بإعلانات ملوثة ببرمجية جافا لتطبيقي “بروكسو” لالتقاط لقطات للشاشة، و”براوزر دفنس” لحماية متصفح الإنترنت، مع دفع هذه الإعلانات للظهور على شبكات إعلانات ضخمة، حيث تظهر على مواقع إخبارية رئيسة يشاهدها ملايين المستخدمين.
لكن كيف تمكنت هذه البرمجية من تخطي تقنية مكافحة البرامج الخبيثة التي تستخدمها شبكات الإعلانات الكبرى؟
عند تقديم الإعلان فإنه يدير شفرة جافا تمويهية تشغل اختباراً لفحص البيئة التي سيظهر فيها، فإذا كُنت تدير “آلة افتراضية” أو بيئات أخرى كالتي يستخدمها عادة باحثو الأمن، فإن الإعلان يظهر بشكل صورة ثابتة نظيفة، لكن إن تبين أن الجهاز قابل للاختراق فإن الإعلان يظهر كصورةمن نوع gif متحركة تخبئ البيانات ضمن قناة “ألفا” أو “الشفافية” في الصورة.
استخلاص وتشغيل الشفرة الخبيثة
بعد الفحص الأول يعمل فحص ثان على استخلاص وتشغيل الشفرة الخبيثة، وذلك مستفيداً من ثغرة معروفة في متصفح “إنترنت إكسبلورر”، ثم تفحص البرمجية الحاسوب مرة أخرى بحثاً عن آلات افتراضية أو أي منتجات أمنية أخرى هدفها رصد البرمجيات الخبيثة، كما أنها تفحص مشغلات الرسوميات والأمن للتأكد أنها تعمل على حاسوب فعلي.
ومن هنا تقوم البرمجية بتحميل فيديو بصيغة “آي فريم” وتحوله عبر ميزة اختصار الروابط “تني يو آر إل” إلى موقع استغلالي جديد يقوم بفحص وجود إنترنت إكسبلورر ويحمل ملف “فلاش” يقوم بتمرير المعلومات إلى خادم القراصنة بعد تشفيرها ليعيد الخادم إرسال شفرة تستفيد من إحدى ثغرات فلاش بحيث يتم تثبيت الحمولة النهائية على الحاسوب المستهدف.
تفريغ الحمولة وتشغيلها
وبعد فحص أخير للحاسوب المستهدف تبدأ عملية تفريغ الحمولة وتشغيلها؛ ومن هناك يصبح الحاسوب مخترقاً ببرمجية “باب خلفي” أو “تسجيل نقرات لوحة المفاتيح” أو “صانع لقطات الشاشة” أو “صانع فيديو”، وعند هذه المرحلة يمكن للقراصنة سرقة أي ملف بحثاً عن نقاط ضعف من شأنها أن تتيح لهم سرقة أو ابتزاز المال.
تحديث برامج الحاسوب واستخدام حلول موثوقة لأمن الإنترنت
ولتجنب هذه البرمجية الخبيثة ينصح الخبراء بتحديث برامج الحاسوب واستخدام حلول موثوقة لأمن الإنترنت، وبعدم استخدام متصفح إنترنت إكسبلورر في المقام الأول.