اكتشف باحثو شركة الأمن السيبراني والخصوصية الرقمية العالمية Kaspersky برامج ضارة متطورة للغاية تؤثر على أكثر من مليون ضحية منذ عام 2017.
كانت البرمجيات الخبيثة – “StripedFly” – تتنكر في البداية على أنها أداة تعدين للعملات المشفرة، وتبين لاحقًا أنها إطار عمل معقد متعدد الوظائف قابل للتنقل. ووفقا لتقرير كاسبرسكي الذي نشر يوم الخميس، فإن برنامج StripedFly أصاب أكثر من مليون جهاز كمبيوتر يعمل بنظامي التشغيل Windows وLinux لمدة خمس سنوات.
“إنه يأتي مزودًا بنفق شبكة TOR مدمج للتواصل مع خوادم الأوامر، إلى جانب وظائف التحديث والتسليم من خلال خدمات موثوقة مثل GitLab وGitHub وBitbucket، وكلها تستخدم أرشيفات مشفرة مخصصة.”
اكتشف باحثو كاسبرسكي الإطار الخبيث العام الماضي، وأشاروا إلى أن الجهد المبذول في إنشاء الإطار كان “رائعًا حقًا”.
وكتب الباحثون: “في عام 2022، صادفنا اكتشافين غير متوقعين ضمن عملية WININIT.EXE لتعليمة برمجية قديمة تمت ملاحظتها سابقًا في برنامج Equation الضار”. “كشف التحليل اللاحق عن حالات سابقة من التعليمات البرمجية المشبوهة يعود تاريخها إلى عام 2017.”
تم تصنيف البرامج الضارة بشكل خاطئ على أنها مجرد أداة لتعدين العملة المشفرة Monero، وليس من الواضح ما إذا كان قد تم استخدامها لتوليد الإيرادات أو التجسس عبر الإنترنت. وأكد الخبراء أن وحدة التعدين كانت العامل الرئيسي الذي مكّن البرامج الضارة من تجنب اكتشافها لفترة طويلة.
وأضافت النتائج أيضًا أن المهاجم الذي يقف وراء البرامج الضارة قد اكتسب قدرات واسعة النطاق للتجسس على الضحايا. وأضافت أن البرمجيات الخبيثة “تجمع مجموعة من المعلومات الحساسة من جميع المستخدمين النشطين”.
يقوم باستخراج أسماء المستخدمين وكلمات المرور لتسجيل الدخول إلى موقع الويب وبيانات الملء التلقائي الشخصية بما في ذلك الاسم والعنوان ورقم الهاتف والشركة والمسمى الوظيفي. وكشف التقرير أنه “يلتقط أيضًا أسماء شبكات Wi-Fi المعروفة وكلمات المرور المرتبطة بها”.
لا تزال أصول StripedFly غير معروفة، لكن التحقيقات الإضافية تكشف أن البرنامج الضار يستخدم تقنيات مشابهة لاستغلال EternalBlue ‘SMBv1’ للتسلل إلى أنظمة الضحية.
تم تسريب EternalBlue في أبريل 2017 ويستمر في تهديد خوادم Windows التي لم يتم إصلاحها. تم إنشاء هذا الاستغلال السيئ السمعة واستخدامه من قبل مجموعة قرصنة تابعة لوكالة الأمن القومي تُعرف باسم مجموعة المعادلات.
وكشفت كاسبرسكي أنه تم اكتشاف StripedFly في البداية في أبريل 2016، أي قبل عام من اكتشاف EternalBlue. في أوائل عام 2017، أصدرت Microsoft تصحيحًا لاستغلال EternalBlue.
“تم إنشاء StripedFly منذ بعض الوقت، وقد حقق بلا شك الغرض المقصود منه من خلال تجنب الكشف بنجاح على مر السنين. لقد تم التحقيق في العديد من البرامج الضارة رفيعة المستوى والمتطورة، ولكن هذا البرنامج متميز ويستحق حقًا الاهتمام والتقدير.