برامج خبيثة صينية تصيب المطورين من خلال تسميم SEO
قالت تقارير إن المستخدمين الصينيين الذين يسعون إلى تنزيل متصفحات الإنترنت وبرامج الاتصالات الشائعة يتعرضون لهجمات بأنواع مختلفة من البرمجيات الخبيثة، مما يمنح المهاجمين إمكانية الوصول عن بُعد.
أكدت ذلك منظمات أمن سيبراني متعددة، بما في ذلك "Fortinet FortiGuard Labs" و"Zscaler ThreatLabz".
اكتشفت الأولى حملة تخريبية لتحسين محركات البحث (SEO) لنشر نوعين من أحصنة طروادة الوصول عن بُعد (RAT) - HiddenGh0st وWinos - وكلاهما نوعان من Gh0st RAT سيئ السمعة، بحسب تقرير نشره موقع "techradar" واطلعت عليه "العربية Business".
في هذه الحملة، أنشأ المهاجمون صفحات تنزيل مزيفة لبرامج مثل "DeepL Translate" و"غوغل كروم" و"سيغنال" و"تيليغرام" و"واتساب" و "WPS Office"، على نطاقات مُخترقة.
سرقة العملات المشفرة وتعطيل برامج مكافحة الفيروسات
تلاعبوا بتصنيفات البحث باستخدام إضافات تحسين محركات البحث (SEO) المختلفة لخداع الباحثين عن هذه البرامج ودفعهم لزيارة المواقع الخاطئة.
يبدو أن عملية التنزيل تُنشِر البرنامج المطلوب، لكن مُثبّت البرنامج مُصابٌ بحصان طروادة، وهو أيضًا يُخدِم أحد أحصنة طروادة المذكورة أعلاه.
في الوقت نفسه، لاحظ باحثون من "Zscaler" انتشار حصان طروادة غير معروف سابقًا، يُسمى kkRAT.
بدأت هذه الحملة في مايو من هذا العام، وتشمل أيضًا Winos وFatalRAT.
يتشابه كود kkRAT مع كود Gh0st RAT وBig Bad Wolf، كما أوضح Zscaler: "يستخدم kkRAT بروتوكول اتصال شبكة مشابهًا لـ Ghost RAT، مع طبقة تشفير إضافية بعد ضغط البيانات.
تشمل ميزات RAT التلاعب بالحافظة لاستبدال عناوين العملات المشفرة، ونشر أدوات مراقبة عن بُعد (مثل Sunlogin وGotoHTTP)."
كما أنه قادر على إيقاف برامج مكافحة الفيروسات قبل أي نشاط ضار، لإخفاء وجوده بشكل أفضل.
من بين حلول مكافحة الفيروسات التي يستهدفها حصان طروادة: مجموعة 360 Internet Security، و360 Total Security، ومجموعة HeroBravo System Diagnostics، وغيرها.
بخلاف اكتشاف "فورتينيت"، تُستضاف مواقع التصيد الاحتيالي في هذه الحملة على صفحات GitHub، مستفيدةً من ثقة مجتمعها بالمنصة في نشر أحصنة طروادة.
وقد أُغلق حساب GitHub المُستخدم في هذه الحملة منذ ذلك الحين.