Fauxpersky: برنامج ضار جديد تم إصداره في عام 2018

لقد حسنت الرقمنة مستوى معيشتنا بشكل كبير ، مما جعل الأمور أسهل وأسرع وموثوقية. ولكن بعد ذلك ، فإن الاحتفاظ بجميع السجلات على الكمبيوتر والمعالجة عبر الإنترنت يشبه عملة معدنية ذات وجهين مختلفين. مع فوائد لا حصر لها ، هناك عدد قليل من العيوب الملحوظة وخاصة المتسللين الذين يعرفون أدواتهم على أنها برامج ضارة. أحدث إضافة إلى عائلة البرامج الضارة الكبيرة هذه هي Fauxpersky. على الرغم من أنها تتناغم مع برنامج مكافحة الفيروسات الروسي الشهير "Kaspersky" ، إلا أن مساراتهم تتباعد هنا .. يتنكر Fauxpersky على هيئة Kaspersky وهو مصمم لسرقة معلومات المستخدم وإرسالها إلى المتسللين عبر الإنترنت. ينتشر عبر محركات الأقراص USB، إصابة جهاز الكمبيوتر الخاص بالمستخدم، واستولت على جميع ضربات المفاتيح مثل كلوغر وأخيرا إرسالها إلى صندوق البريد المهاجم من خلال جوجلنماذج. المنطق وراء اسم هذا البرنامج الضار بسيط. يُعرف أي شيء تم صنعه بالتقليد باسم Faux ، ومن ثم فإن تقليد Kaspersky سيكون Faux - Kaspersky أو ​​Fauxpersky.

لفهم عملية تنفيذ هذا البرنامج الضار ، دعنا أولاً نتحقق من مكوناته المختلفة:

مفتاح المسجل

يُعرّف Google برنامج كمبيوتر يسجل كل ضغطة مفتاح يقوم بها مستخدم الكمبيوتر ، خاصةً للحصول على وصول احتيالي إلى كلمات المرور وغيرها من المعلومات السرية. ومع ذلك ، عند تصميم Keylogger في البداية ، خدم غرضًا للآباء الذين يمكنهم مراقبة نشاط أطفالهم عبر الإنترنت وللمؤسسات حيث يمكن لأصحاب العمل تحديد ما إذا كان الموظفون يعملون في المهام المطلوبة الموكلة إليهم.

اقرأ أيضا: -

كيف تحمي نفسك من الـ Keyloggers تعتبر الـ Keyloggers خطرة ولكي تبقى محمياً يجب على المرء أن يحافظ دائماً على البرامج محدثة ، ويستخدم على لوحات المفاتيح على الشاشة ويتبع كل ...

AutoHotKey

AutoHotkey هي لغة برمجة نصية مخصصة مجانية ومفتوحة المصدر لـ Microsoft Windows ، تهدف في البداية إلى توفير اختصارات لوحة مفاتيح سهلة أو مفاتيح الاختصار ، وإنشاء ماكرو سريع وأتمتة البرامج التي تتيح للمستخدمين من معظم مستويات مهارات الكمبيوتر لأتمتة المهام المتكررة في أي تطبيق Windows. من ويكيبيديا ، الموسوعة المجانية.

نماذج جوجل

Google Forms هي أحد التطبيقات التي تشكل مجموعة تطبيقات Google للمكاتب عبر الإنترنت. يتم استخدامه لإنشاء استبيان أو استبيان يتم إرساله بعد ذلك إلى المجموعة المرغوبة من الأشخاص ويتم تسجيل ردودهم في جدول بيانات واحد لأغراض تحليلية.

كاسبيرسكي

Kaspersky هي علامة تجارية روسية معروفة لمكافحة الفيروسات طورت برامج مكافحة فيروسات وأمن الإنترنت وإدارة كلمات المرور وأمن نقطة النهاية ومنتجات وخدمات الأمن السيبراني الأخرى.

هناك ، كما يُقال أحيانًا "الكثير من الأشياء الجيدة يمكن أن تصنع شيئًا سيئًا للغاية".

وصفة Fauxpersky

تم تطوير Fauxpersky باستخدام أدوات AutoHotKey (AHK) التي تقرأ جميع النصوص التي يدخلها المستخدم من Windows وترسل ضغطات المفاتيح إلى التطبيقات الأخرى. الطريقة التي يستخدمها AHK keylogger واضحة تمامًا ؛ ينتشر من خلال تقنية النسخ الذاتي. بمجرد تنفيذه على النظام ، فإنه يبدأ في تخزين جميع المعلومات التي كتبها المستخدم في ملف نصي يحمل اسم النافذة المعنية. يعمل تحت قناع Kaspersky Internet Security ويرسل جميع المعلومات المسجلة من ضغطات المفاتيح إلى المتسلل عبر نماذج Google. طريقة استخراج البيانات غير شائعة: المهاجمون يجمعونها من الأنظمة المصابة باستخدام نماذج Google دون التسبب في أي شك ضمن الحلول الأمنية التي تحلل حركة المرور ، حيث لا تبدو الاتصالات المشفرة مع docs.google.com مريبة. بمجرد إرسال قائمة ضغطات المفاتيح ، يتم حذفه من القرص الصلب لمنع اكتشافه. ومع ذلك ، بمجرد إصابة النظام ، يتم تمهيد البرامج الضارة مرة أخرى بعد إعادة تشغيل الكمبيوتر. كما يقوم أيضًا بإنشاء اختصار لنفسه في دليل بدء التشغيل في قائمة "ابدأ".

Fauxpersky: طريقة العمل

لم يتم تحديد عملية الإصابة الأولية بعد ، ولكن بعد أن تؤدي البرامج الضارة إلى اختراق النظام ، فإنها تقوم بمسح جميع محركات الأقراص القابلة للإزالة المتصلة بالكمبيوتر وتنسخ نفسها فيها. يقوم بإنشاء مجلد في٪ APPDATA٪ باسم " Kaspersky Internet Security 2017 " مع ستة ملفات ، أربعة منها قابلة للتنفيذ ولها نفس اسم ملف نظام Windows: Explorers.exe و Spoolsvc.exe و Svhost.exe و Taskhosts.exe. الملفان الآخران هما ملف صورة بشعار Kaspersky Antivirus وملف آخر عبارة عن ملف نصي باسم "readme.txt". تؤدي الملفات الأربعة القابلة للتنفيذ وظائف مختلفة:

• Explorers.exe - ينتشر من الأجهزة المضيفة إلى محركات الأقراص الخارجية المتصلة من خلال تكرار الملفات.
• Spoolsvc.exe - يغير قيم التسجيل في النظام والذي بدوره يمنع المستخدم من عرض جميع الملفات المخفية وملفات النظام.
• Svhost.exe- يستخدم وظائف AHK لمراقبة النافذة النشطة حاليًا وتسجيل أي ضغطات مفاتيح يتم إدخالها في تلك النافذة.
• Taskhosts.exe - يستخدم لتحميل البيانات النهائية.

سيتم إرسال جميع البيانات المسجلة في الملف النصي إلى صندوق بريد المهاجم من خلال نماذج Google ويتم حذفها من النظام. بالإضافة إلى ذلك ، تم بالفعل تشفير البيانات المرسلة عبر نماذج Google ، مما يجعل عمليات تحميل بيانات Fauxpersky تبدو غير مشبوهة في مختلف حلول مراقبة حركة المرور.

يعود الفضل لشركة Cybereason للأمن السيبراني في اكتشاف هذه البرامج الضارة وعلى الرغم من أنها لا تشير إلى عدد أجهزة الكمبيوتر المصابة ، ولكن بالنظر إلى أن ذكاء Fauxpersky ينتشر من خلال الطريقة القديمة لمشاركة محركات أقراص USB. بمجرد إخطار Google ، استجابت على الفور بإزالة النموذج من خوادمها في غضون ساعة.

إزالة

إذا كنت تشعر أن جهاز الكمبيوتر الخاص بك مصاب أيضًا ، فما عليك سوى الوصول إلى المجلد "AppData" وإدخال مجلد "التجوال" وحذف الملفات المتعلقة بـ Kaspersky Internet Security 2017 والدليل نفسه من دليل بدء التشغيل الموجود في قائمة البدء. يُنصح أيضًا بتعديل كلمات مرور الخدمات لتجنب الاستخدام غير المصرح به للحسابات.

حتى مع أحدث برامج مكافحة البرامج الضارة ، يمكن أن تشتري الأموال من الخطأ الاعتقاد بأن معلوماتنا الشخصية المخزنة على أجهزة الكمبيوتر الخاصة بنا آمنة لأن البرامج الضارة يتم إنشاؤها بشكل متكرر بواسطة نشطاء الهندسة الاجتماعية في جميع أنحاء العالم. يمكن لمطوري برامج مكافحة البرامج الضارة الاستمرار في تحديث تعريفات البرامج الضارة ولكن ليس من الممكن دائمًا اكتشاف البرامج الشاذة التي أنشأتها العقول اللامعة التي ضلت طريقها. أفضل طريقة لمنع التسلل هي زيارة المواقع الموثوقة فقط مع توخي الحذر الشديد أثناء استخدام محركات الأقراص الخارجية.