كشفت جوجل عن حملة خبيثة تستهدف مستخدمي تطبيقات VPN، حيث يتم إغراء المستخدمين بتنزيل تطبيقات مزيفة تحتوي على برمجيات ضارة تمنح المهاجمين سيطرة كاملة على أجهزتهم. لتجنب الوقوع ضحية لهذه الحملة، يجب على المستخدمين توخي الحذر عند تنزيل تطبيقات VPN والتحقق من مصادرها بشكل دقيق.
تقنية جديدة لخداع المستخدمين وتنزيل برمجيات خبيثة
حذرت جوجل من تهديد أمني جديد يتمثل في تطبيقات VPN مزيفة تحتوي على برمجيات خبيثة، حيث تعتمد هذه التطبيقات على أساليب خداع المستخدمين لتحميلها ورصد فريق الأمان Managed Defense التابع لجوجل طريقة جديدة تستخدم لتوجيه المستخدمين إلى تنزيل تطبيقات VPN من مواقع وهمية تدعي أنها رسمية. وهذه التطبيقات والتي تحتوي على برمجيات خبيثة تمنح المهاجمين القدرة على التحكم عن بُعد في أجهزة الضحايا.
يعتمد المهاجمون على تقنية تعرف باسم تسميم محركات البحث (SEO Poisoning)، حيث يقومون بالتلاعب بنتائج البحث لتظهر المواقع الضارة في المراتب الأولى مما يجعل المستخدمين يعتقدون أنها مواقع موثوقة. البرمجية التي تم التعرف عليها تُسمى Playfulghost وهي نسخة متطورة من أداة التحكم عن بُعد Gh0st RAT التي ظهرت لأول مرة في عام 2008. تتميز Playfulghost بنمط تشفير فريد يجعلها أكثر تميزًا عن الأدوات السابقة.
وكشفت جوجل عن تفاصيل جديدة حول عائلة البرمجيات الخبيثة Playfulghost وذلك في أحدث منشور ضمن سلسلة "Finding Malware" التي تنشرها جوجل كلاود. يهدف هذا المنشور إلى تمكين مجتمع عمليات الأمن السيبراني من جوجل من اكتشاف التهديدات المتزايدة والمستمرة التي تشكلها البرمجيات الخبيثة.
تعتبر PLAYFULGHOST نوعًا متطورًا من البرمجيات الخبيثة التي تعمل كأداة خلفية، حيث تشترك في بعض الوظائف مع أداة التحكم عن بعد المعروفة Gh0st RAT. تم تصميم Playfulghost لتكون قادرة على تنفيذ مجموعة متنوعة من الأوامر بما في ذلك تسجيل ضغطات المفاتيح والتقاط صور للشاشة وتسجيل الصوت وإدارة الملفات وفتحها وحذفها وتنفيذ الأوامر عن بُعد.
تتعدد طرق توزيع Playfulghost، حيث تم الإبلاغ عن حالات تصيد تستخدم ملفات RAR خبيثة تتظاهر بأنها صور وعندما يقوم الضحية بفك ضغط الملف وتنفيذه ويتم تنزيل البرمجيات الخبيثة من خادم بعيد وتم رصد حالات لإستخدام تقنية تسمم محركات البحث، حيث يتم إغراء الضحية بتنزيل مثبت يبدو شرعيًا ولكنه يحمل في طياته برمجيات خبيثة.
تتكون عملية تنفيذ PLAYFULGHOST من ثلاثة أجزاء رئيسية وعند التنفيذ يقوم المثبت الشرعي بتحميل مكتبة ديناميكية خبيثة (DLL) تُستخدم لتشفير وتحميل Playfulghost في الذاكرة وقد أظهرت التحليلات أن المهاجمين يستخدمون أسماء ملفات مشروعة مثل "svchost.exe" و"TIM.exe" لإخفاء نشاطاتهم الخبيثة.
بالإضافة إلى ذلك تم رصد أدوات ومالوير أخرى مصاحبة لـ PLAYFULGHOST مثل BOOSTWAVE وTERMINATOR والتي تُستخدم لتعزيز قدرة المهاجمين على السيطرة على الأنظمة المصابة وإخفاء أنشطتهم ويلجأ المهاجمون أيضًا إلى أساليب تقليدية مثل التصيد الإلكتروني، حيث يقومون بإرسال رسائل بريد إلكتروني تحتوي على روابط لمواقع ضارة أو ملفات تبدو عادية ولكن تحتوي على برمجيات خبيثة مخفية.
للكشف عن نشاطات PLAYFULGHOST تقدم جوجل مجموعة من استراتيجيات الكشف التي تعتمد على إشارات قوية وضعيفة لتحديد الأنشطة المشبوهة في بيئات العملاء ويمكن لمستخدمي Google Security Operations استخدام استعلامات محددة للبحث عن أحداث تتعلق بإنشاء مفاتيح التسجيل أو تعديلها بواسطة ملفات موجودة في مجلدات عامة.
للحفاظ على أمانك عند تنزيل التطبيقات وتوصي جوجل بتجنب الاعتماد فقط على نتائج البحث لتحديد موثوقية المواقع ويجب التحقق من الموقع الرسمي للتطبيق عبر كتابة عنوانه يدويًا في المتصفح مع توخي الحذر عند فتح الملفات المرسلة من مصادر غير موثوقة.
تعتبر هذه الاكتشافات خطوة هامة في جهود جوجل المستمرة لمكافحة التهديدات السيبرانية وتعزيز الأمان الرقمي للمستخدمين حول العالم. مع تزايد التهديدات السيبرانية ويبقى التعاون بين الشركات التقنية والمجتمعات الأمنية أمرًا حيويًا لمواجهة هذه التحديات.