- تم اختراق موقع CPUID.com لفترة وجيزة لخدمة البرامج الضارة
- استخدمت التنزيلات الملوثة التحميل الجانبي لـ DLL باستخدام CRYPTBASE.dll
- تم نشر حصان طروادة المتطور، وتم تمييزه بواسطة 20 محركًا للمركبات المضادة للمركبات (AV).
أكد موقع CPUID.com، وهو موقع ويب شهير لأدوات تشخيص أجهزة الكمبيوتر، أنه تم اختراقه واستخدامه لخدمة البرامج الضارة.
“لا تزال التحقيقات جارية، ولكن يبدو أن ميزة ثانوية (واجهة برمجة التطبيقات الجانبية في الأساس) قد تم اختراقها لمدة ست ساعات تقريبًا بين 9 أبريل و10 أبريل، مما تسبب في عرض الموقع الرئيسي للروابط الضارة بشكل عشوائي (لم يتم اختراق ملفاتنا الأصلية الموقعة)”، قال القائمون على المشروع. BleepingComputer. تم العثور على الاختراق وتم إصلاحه منذ ذلك الحين.”
بمعنى آخر، لم يتم تسميم البرنامج المستضاف على CPUID، بل كان يخدم فقط روابط تنزيل مختلفة. ومع ذلك، قد يعتقد الضحايا أنهم يقومون بتنزيل برامج شرعية.
يستمر المقال أدناه
ليست البرامج الضارة النموذجية الخاصة بك
وجد باحثون من Kaspersky أن روابط تنزيل هذا البرنامج ملوثة:
وحدة المعالجة المركزية-Z (الإصدار 2.19)
HWMonitor Pro (الإصدار 1.57)
HWMonitor (الإصدار 1.63)
مراقبة الأداء (الإصدار 2.04)
تضمنت المتغيرات المعدلة ملفًا تنفيذيًا شرعيًا وموقعًا وملف DLL ضارًا يُسمى “CRYPTBASE.dll”، يُستخدم للتحميل الجانبي لـ DLL.
“ملف DLL الخبيث هو المسؤول عن C2 [command and control] الاتصال وتنفيذ المزيد من الحمولة. وقبل ذلك، كان يقوم أيضًا بتنفيذ مجموعة من عمليات التحقق من الحماية، وإذا اجتازت جميع الاختبارات، فإنه يتصل بخادم C2”.
وفي الوقت نفسه، قال باحثون من Igor's Labs وvxunderground إن البرمجيات الخبيثة كانت معقدة إلى حد ما.
قال vxunderground: “عندما بدأت في الضغط على هذا بالعصا، اكتشفت أن هذا ليس برنامجًا ضارًا عاديًا.”
“تم اختراق هذه البرامج الضارة بشكل كبير من خلال أحصنة طروادة، ويتم توزيعها من مجال مخترق (cpuid-dot-com)، وتقوم بإخفاء الملفات، وهي متعددة المراحل، وتعمل (تقريبًا) بالكامل في الذاكرة، وتستخدم بعض الأساليب المثيرة للاهتمام للتهرب من EDRs و/أو AVs مثل تعيين وظائف NTDLL من مجموعة .NET.”
وقد تم تنظيف الموقع منذ ذلك الحين. يوضح موقع VirusTotal أن 20 محركًا مضادًا للفيروسات يقوم حاليًا بوضع علامة على البرامج الضارة – يطلق عليها البعض اسم “Tedy Trojan”، والبعض الآخر يطلق عليها اسم “Artemis Trojan”. يبدو أنه سارق معلومات.
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات