الجمعة 29، مارس 2024
18º
منذ سنة

قراصنة يستغلون أداة مهمة في ويندوز لاختراقه

قراصنة يستغلون أداة مهمة في ويندوز لاختراقه
حجم الخط

شبكة وتر-رصدت شركة متخصصة في أمن المعلومات أن قراصنة يُسيئون استخدام أداة الإبلاغ عن الأخطاء الخاصة بنظام ويندوز، لتحميل البرامج الضارة في ذاكرة النظام المُخترق، وذلك باستخدام تقنية التحميل الجانبي لملفات.DLL

وذكرت شركة K7 Security Labs أن الهدف من استخدام ملف ويندوز القابل للتنفيذ WerFault.exe هو إصابة الأجهزة خُفيةً دون إطلاق أي إنذارات على النظام الذي اختُرق، وذلك بتشغيل البرنامج الضار من خلال برنامج ويندوز شرعي قابل للتنفيذ.

ولم تتمكن الشركة التي رصدت الحملة الجديدة من تحديد القراصنة، لكن يُعتقد أن مقرهم في الصين.

وأوضحت أن حملة البرامج الضارة تبدأ بوصول رسالة بريد إلكتروني تحوي مرفق ISO. وبالنقر نقرًا مزدوجًا عليه، سيُثبّت ISO نفسه كحرف محرك أقراص جديد يحوي نسخةً شرعية من ملف Windows WerFault.exe القابل للتنفيذ، والملف faultrep.dll، والملف File.xls، واختصارًا للملف inventory & our specialties.lnk.

ويُصاب نظام الضحية فور النقر على ملف الاختصار، الذي يستخدم scriptrunner.exe لتنفيذ ملف WerFault.exe.

وWerFault هي أداة الإبلاغ عن أخطاء ويندوز القياسية المستخدمة في نظامي ويندوز 10 وويندوز 11، والتي تسمح للنظام بتتبع الأخطاء المتعلقة بنظام التشغيل أو التطبيقات والإبلاغ عنها. ويستخدم النظام الأداة للإبلاغ عن خطأ وتلقى توصيات الحل المحتملة.

وتثق أدوات مكافحة الفيروسات عادةً في WerFault نظرًا إلى أنه برنامج ويندوز شرعي قابل للتنفيذ ومُصرَّح به من مايكروسوفت، لذا فإن تشغيله على النظام لن يؤدي عادةً إلى إطلاق تنبيهات لتحذير الضحية.

وفور بدء تشغيل WerFault.exe، فإنه يستخدم خللًا معروفًا في التحميل الجانبي لملفات DLL بهدف تحميل الملف الخبيث faultrep.dll الموجود في ملف ISO

وعادةً ما يكون faultrep.dll ملف DLL شرعيًا يُوجد في المجلد C:\Windows\System المطلوب لتشغيل WerFault على النحو الصحيح. ومع ذلك، يحوي إصدار DLL الضار في ISO رمزًا إضافيًا لتشغيل البرنامج الضار.

ويُطلق على تقنية إنشاء مكتبات DLL ضارة تحت الاسم نفسه للمكتبات الشرعية على نحو تُحمّل به جانبيًا بدلًا منها اسم DLL sideloading.

ويتطلب التحميل الجانبي لهذه الملفات وجود إصدار ضار من ملف DLL في الدليل نفسه، مثل: الملف القابل للتنفيذ الذي يستدعيه. وفور بدء تشغيل الملف القابل للتنفيذ، سيعطي ويندوز الأولوية له على حساب الملف الأصلي الخاص به طالما أنه يحمل الاسم نفسه.

وبتحميل ملف DLL الخبيث في هذا الهجوم، فإنه سينشئ مسارين، أحدهما يُحمِّل ملف DLL الخاص بملف Pupy Remote Access Trojan – dll_pupyx64.dll في الذاكرة، والآخر يفتح جدول بيانات XLS المُرفَق ليكون طُعمًا.

يُذكر أن Pupy RAT هو ملف خبيث مفتوح الصدر ومتاح للعامة في لغة البرمجة بايثون Python ويدعم تحميل ملفات DLL العاكسة لتفادي الاكتشاف، ويُنزَّل وحدات إضافية لاحقًا.

وتسمح البرامج الضارة لجهات التهديد الفاعلة بالوصول الكامل إلى الأجهزة المصابة، وتمكينها من تنفيذ الأوامر، أو سرقة البيانات، أو تثبيت المزيد من البرامج الضارة، أو الانتشار خلال الشبكة.

وبوصفها أداة مفتوحة المصدر، فقد استخدمتها العديد من جهات التجسس المدعومة حكوميًا، مثل: مجموعتي APT33، و APT35الإيرانيتين، ذلك أن تلك الأدوات تجعل عملية الإسناد صعبة التعقب.

وقد شوهد موزعو برامج QBot الخبيثة يتبنون سلسلة هجوم مماثلة الصيف الماضي، حيث أساءوا استخدام حاسبة ويندوز Windows Calculator للتهرب من أن تكتشفها برامج الأمان.