يبدو أن المتسللين المتطورة قد غيروا الطريقة التي يديرون بها العمليات السيبرانية ، بدلاً من الاستثمار في أيام الصفر وتطوير البرمجيات الخبيثة الخاصة بهم ؛ بدأت بعض مجموعات الاختراق الآن باستخدام البرامج الضارة الجاهزة تمامًا مثل برامج الأطفال النصية.
ربما ، قد يكون هذا تحركًا ذكيًا للمتسللين الذين ترعاهم الدولة لتجنب الإسناد بسهولة. اكتشف
باحثون أمنيون من شركات أمنية متعددة ، بما في ذلك Arbor Networks و FireEye ، بشكل مستقل سلسلة من حملات البرمجيات الخبيثة تستهدف في المقام الأول الفضاء الجوي ومقاولي الدفاع وقطاعات التصنيع في مختلف البلدان ، بما في ذلك الولايات المتحدة وتايلاند وكوريا الجنوبية والهند.
ما هو الشائع؟ في نهاية المطاف ، تقوم جميع حملات الهجوم هذه ، التي تقوم بها مجموعات التسلل المختلفة ، بتثبيت نفس المعلومات وسرقة برامجالحماية بكلمة مرور - يطلق عليها اسم FormBook - على الأنظمة المستهدفة.
لا يُعد FormBook سوى " برامج ضارة كخدمة " ، وهي عبارة عن قطعة من البرمجيات الخبيثة وسرقة البيانات التي تم الإعلان عنها في العديد من المنتديات المتقطعة منذ أوائل عام 2016.
يمكن لأي شخص استئجار FormBook مقابل 29 دولارًا أمريكيًا في الأسبوع فقط أو 59 دولارًا في الشهر ، والذي يقدم مجموعة من إمكانيات التجسس المتقدمة على الأجهزة المستهدفة ، بما في ذلك keylogger و stealer كلمة المرور و sniffer الشبكة و التقاط لقطات الشاشة و styler بيانات نموذج الويب والمزيد.
وفقًا للباحثين ، يستخدم المهاجمون في كل حملة رسائل البريد الإلكتروني في المقام الأول لتوزيع برنامج FormBook الخبيث كمرفق بأشكال مختلفة ، بما في ذلك ملفات PDF ذات روابط التنزيل الضارة ، وملفات DOC و XLS مع وحدات الماكرو الضارة ، وملفات الأرشيف (ZIP ، RAR ، ACE ، و ISO) تحتوي على حمولات EXE.
بمجرد تثبيتها على نظام مستهدف ، تقوم البرامج الضارة بحقن نفسها في عمليات مختلفة وتبدأ في التقاط ضربات المفاتيح ومقتطفات كلمات المرور المخزنة وغيرها من البيانات الحساسة من تطبيقات متعددة ، بما في ذلك Google Chrome و Firefox و Skype و Safari و Vivaldi و Q-360 و Microsoft Outlook و Mozilla Thunderbird و 3D-FTP و FileZilla و WinSCP.
يرسل FormBook باستمرار جميع البيانات المسروقة إلى وحدة تحكم عن بعد والتحكم عن بعد (C2) والتي تسمح أيضًا للمهاجم بتنفيذ أوامر أخرى على النظام المستهدف ، بما في ذلك عمليات البدء وإيقاف التشغيل وإعادة تشغيل النظام وسرقة ملفات تعريف الارتباط.
"واحدة من أكثر ميزات البرنامج الضار إثارة للاهتمام هي أنه يقرأ وحدة ntdll.dll من Windows من القرص إلى الذاكرة ، ويستدعي وظائفه المصدرة مباشرة ، مما يجعل آليات مراقبة وضع المستخدم وآلية API غير فعالة ،" يقول FireEye.
"يستدعي مؤلف البرامج الضارة هذه التقنية" طريقة جزيرة لاجوس "(التي يُزعم أنها مصدرها rootkit مع هذا الاسم)."
وفقا للباحثين ، شوهدت FormBook أيضا تحميل أسر البرمجيات الخبيثة الأخرى مثل NanoCore في الأسابيع القليلة الماضية.
يمكن للمهاجمين حتى استخدام البيانات التي تم حصادها بنجاح من قبل FormBook لمزيد من أنشطة الجريمة الإلكترونية بما في ذلك سرقة الهوية ، وعمليات التصيد المستمر ، والاحتيال المصرفي والابتزاز.
FormBook ليس برنامجًا متطوّرًا ، ولا يصعب اكتشافه ، لذا فإن أفضل طريقة لحماية نفسك من هذه البرامج الضارة هي الحفاظ على برامج مكافحة الفيروسات على أنظمتك ، وتحديثها دائمًا.