يستخدم المتسللون الصينيون فيروسات سرقة المعلومات لاستهداف البرامج النصية.

يستخدم المتسللون الصينيون فيروسات سرقة المعلومات لاستهداف البرامج النصية. كشف خبراء أمنيون عن جهود قرصنة جديدة مرتبطة بمجموعة القرصنة الصينية “تروبيك تروبر” التي تستخدم لودر نيمبدا ومتغير جديد من طروادة Yahoyah.

يتم تضمين حصان طروادة في برنامج greyware يسمى “SMS Bomber” ، والذي يستخدم لقصف الهواتف بالرسائل في هجمات رفض الخدمة (DoS). غالبًا ما يتم استخدام هذه الأنواع من الأدوات من قبل جهات التهديد “المبتدئة” التي تنوي مهاجمة مواقع الويب.

في تطبيق مخصص لمواصفات AES ، تُظهر الجهات الفاعلة في التهديد أيضًا فهمًا معمقًا للتشفير ، وفقًا لتقرير صادر عن Check Point.

سلسلة الاعتداء

يؤدي تنزيل إصدار ضار من SMS Bomber ، والذي يتضمن ثنائيات الأداة والميزات الشائعة ، إلى تشغيل الإصابة. تم تغيير الملف ، على الرغم من ذلك ، ليحتوي الآن على برامج ضارة إضافية تدخل في عملية notepad.exe.

البرنامج الذي تم تنزيله هو في الواقع أداة تحميل “Nimbda” ، والتي تستخدم أيقونة SMS Bomber وتحتوي على نسخة مضمنة من SMS Bomber.

يُدرج المُحمل كود القشرة في عملية المفكرة في الخلفية حتى يتمكن من الوصول إلى مستودع GitHub ، وتنزيل ملف تنفيذي تم تشفيره ، وفك تشفيره ، ثم تشغيله عن طريق عملية التجويف في “dllhost.exe”.

متغير Yahoyah الجديد المستخدم في هذه الحمولة يجمع معلومات حول المضيف وينقلها إلى خادم C2. فيما يلي قائمة بالبيانات التي جمعها يهويا:

  • توافر ملفات WeChat و Tencent على كمبيوتر الضحية.
  • معرفات SSID للشبكة اللاسلكية المحلية في مكان قريب.
  • اسم الكمبيوتر وعنوان MAC وإصدار نظام التشغيل

يتم ترميز الحمولة النهائية بشكل أخفائي كصورة JPG ويتم إسقاطها بواسطة ملف تنفيذي Yahoyah. ومن المعروف من قبل Check Point باسم “TClient” ، وهو باب خلفي من Tropic Trooper تم توظيفه في حملات سابقة.

تنفيذ AES على وجه التحديد

تم تشفير Yahoyah باستخدام تطبيق AES خاص تم إنشاؤه بواسطة Check Point والذي يقوم بتدوير تسلسل العمليات المقلوب مرتين.

هذا لا يجعل التشفير أكثر أمانًا ، ولكنه يجعل تحليل العينة صعبًا للغاية ، مما يثبط عزيمة الباحثين الأقل إصرارًا أو يجعل عملهم أكثر إرهاقًا.

قال تشيك بوينت إنه بالنظر إلى الاستثمار المنخفض لمؤلف الفيروس ، “فإن الحصول على محلل يمر بكامل متطلباته يعد عملاً قاسياً وفعالاً”.

إنهم يحتاجون فقط إلى المهارات والثقة بالنفس للتلاعب بالتشفير بطريقة لا تجعله غير قابل للاستخدام.

استهداف غريب

يستهدف ممثل التهديد المعقد المعروف باسم Tropic Trooper موظفي الحكومة الروسية بهجمات التصيد الاحتيالي.

يقترح استخدام أحصنة طروادة “قنبلة الرسائل القصيرة” استهدافًا دقيقًا ومركّزًا ، مما يشير إلى أن القرار قد تم اتخاذه على الأرجح باستخدام المعلومات التي تم الحصول عليها من التجسس السابق.

يكشف هذا الجهد عن قدرة Tropic Trooper على إنشاء أي شرك مطلوب لأنشطتهم ، بالإضافة إلى خبرتهم في مجال التشفير وتطوير البرامج الضارة ، حتى عندما يكون نطاق الاستهداف الدقيق غير معروف.

إذا وجدت هذه المقالة مثيرة للاهتمام؟ تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره. يستخدم المتسللون الصينيون فيروسات سرقة المعلومات لاستهداف البرامج النصية.

اختار العملة