- يقوم برنامج DarkCloud infostealer بقيمة 30 دولارًا بجمع بيانات الاعتماد عبر المتصفحات وبرامج المؤسسات بهدوء
- يساعد كود Visual Basic القديم البرامج الضارة بشكل غير متوقع على تجنب بعض أدوات الكشف الحديثة
- تعمل أدوات سرقة بيانات الاعتماد الرخيصة على دفع التسويات المبكرة لشبكات الشركات بشكل متزايد
تتوافر أدوات البرامج الضارة منخفضة التكلفة بشكل متزايد على شبكة الإنترنت المظلمة، مما يوفر إمكانات سرقة بيانات الاعتماد للأفراد ذوي المعرفة التقنية المحدودة.
قام باحثون أمنيون في Flashpoint مؤخرًا بتحليل سلالة من البرامج الضارة المعروفة باسم DarkCloud، والتي تم تداولها عبر قنوات Telegram وواجهات المتاجر العامة منذ عام 2022 تقريبًا.
تتوفر الأداة مقابل 30 دولارًا تقريبًا، أي أقل من سعر العديد من ألعاب وحدة التحكم، وتقوم بجمع بيانات الاعتماد على نطاق واسع، حيث قد تتضمن المعلومات المسروقة تسجيلات دخول المتصفح وملفات تعريف الارتباط والبيانات المالية ومعلومات الاتصال من تطبيقات البريد الإلكتروني.
يستمر المقال أدناه
سارقو المعلومات الرخيصون يخفضون حاجز الجرائم الإلكترونية
تعلن DarkCloud عن نفسها كبرنامج مراقبة في القوائم العامة، على الرغم من أن وظائفها الداخلية تركز على استخراج بيانات الاعتماد والبيانات الحساسة من الأجهزة المصابة.
يقول الباحثون إن هذا النوع من سرقة المعلومات أصبح نقطة دخول متكررة إلى شبكات الشركات، حيث غالبًا ما تؤدي بيانات الاعتماد المخترقة إلى اختراق أعمق للشبكة.
أحد الجوانب غير المعتادة في DarkCloud هو استخدامه لبيئة البرمجة القديمة Visual Basic 6.0، حيث تتم كتابة حمولة البرامج الضارة بهذه اللغة القديمة قبل تجميعها في ملف أصلي قابل للتنفيذ.
يعتمد Visual Basic 6.0 على مكونات وقت التشغيل الأقدم التي لا تزال تعمل على أنظمة Windows الحديثة – ووفقًا لمحللي Flashpoint، قد يؤدي اختيار التصميم هذا إلى تقليل معدلات الاكتشاف في بعض أدوات الأمان لأن العديد من أنظمة الكشف تركز على أطر التطوير الأكثر حداثة.
تستخدم البرامج الضارة أيضًا طبقات متعددة من تشفير السلاسل والتعتيم، مما يؤدي إلى تعقيد الهندسة العكسية والتحليل الثابت.
تظل السلاسل الداخلية مشفرة حتى وقت التشغيل، حيث يقوم مولد عشوائي زائف بإعادة بنائها من خلال عمليات حتمية.
لا تعتمد هذه التقنيات على التشفير الجديد، بل تستغل السلوكيات المتوقعة داخل بيئات البرمجة القديمة.
يركز DarkCloud على جمع بيانات الاعتماد وبيانات التطبيقات من مجموعة واسعة من البرامج، واستخراج المعلومات من متصفحات الويب، وعملاء البريد الإلكتروني، وبرامج نقل الملفات، والعديد من أدوات الاتصال.
يتم تخزين البيانات المجمعة محليًا داخل الدلائل التي تم إنشاؤها ضمن مسار قوالب Windows.
يحتفظ أحد الأدلة بملفات قاعدة البيانات المنسوخة، بينما يحتوي الآخر على معلومات محللة مكتوبة بتنسيق نصي غير مشفر.
يسمح نظام التدريج هذا للبرامج الضارة بتجميع السجلات المنظمة قبل إرسالها خارجيًا.
تدعم الأداة عدة طرق لنقل المعلومات المسروقة.
يتضمن ذلك نقل البريد الإلكتروني عبر SMTP، ونقل الملفات باستخدام خوادم FTP، والتواصل عبر قنوات Telegram، والتحميل المباشر عبر HTTP.
ونظرًا لأن بيانات الاعتماد المخترقة غالبًا ما تسمح بالحركة الجانبية داخل الشبكات، فقد يقوم المهاجمون لاحقًا بنشر برامج الفدية أو إطلاق عمليات التصيد الاحتيالي أو الحفاظ على الوصول المستمر.
حتى الحماية الأساسية لنقطة النهاية أو جدار الحماية الذي تم تكوينه بشكل صحيح قد يواجه صعوبة في اكتشاف النشاط إذا كانت البرامج الضارة تستخدم بروتوكولات شرعية.
ولذلك تعتمد فرق الأمان بشكل متكرر على عناصر التحكم متعددة الطبقات، بما في ذلك مراقبة بيانات الاعتماد وإجراءات الاستجابة للحوادث إلى جانب أدوات إزالة البرامج الضارة.
يشير استمرار تداول أدوات سرقة المعلومات غير المكلفة إلى أن تكلفة الدخول المنخفضة، بدلاً من التطور التقني، هي التي تؤدي بشكل متزايد إلى اختراق الشبكة في المراحل المبكرة.
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات