تحديثات وهمية لـ”أدوبي فلاش” تُستخدم لتنزيل برامج التعدين الخبيثة
لقد تم اكتشاف أن تحديثات “أدوبي فلاش Adobe Flash” المزعجة يتم استخدامها ذريعة لتثبيت برامج التعدين الخبيثة للعملات الرقمية على أجهزة الكمبيوتر خِلسة، مما يتسبب في خسائر فادحة يتعرض لها النظام الحاسوبي بالإضافة إلي ارتفاع استهلاك الطاقة الذي يأتي بأضراره على المستخدمين.
عمليات “اصطياد التشفير Cryptojacking” تطفو على السطح مرة أخرى
في حين أن تحديثات “أدوبي فلاش” المزيفة تسببت في وصول البرمجيات الخبيثة لأجهزة الكمبيوتر لذا كان من الواجب على الفور تجنبها، فقد استخدمت تلك الحيلة الجديدة لجعل برامج التعدين الخبيثة للعملات المشفرة تعمل خلسة على أنظمة ويندوز بدون علم الضحايا.
وقال “براد دنكان” المحلل الاستخباراتي في وحدة 42، في مقال له في أحد الواقه ليكشف عن المخطط:
“في وقت مبكر من أغسطس 2018، ظهرت بعض العينات التي تنتحل تحديثات الفلاش في صورة إشعارات منبثقة من مثبت أدوبي الرسمي. وتعمل تحديثات فلاش المزوّرة على دفع المُستخدم لتثبيت برامج غير مرغوب فيها مثل “XMRig” لتعدين العملة الرقمية، ولكن يمكن لهذه البرامج الضارة أيضًا تحديث الـFlash Player إلى أحدث إصدار لإخفاء عملها الاساسي.”
إن الآثار المترتبة على هذا السيناريو غير السار هو أن الضحية المحتملة قد لا تلاحظ أي شيء خارج عن المألوف في حين يعمل برنامج XMRig أو برنامج آخر غير مرغوب فيه بهدوء في خلفية الجهاز. ويمكن أن يبطئ برنامج التعدين هذا من معالج حاسوب الضحية أو يتلف محرك الأقراص الصلبة (الهارد) أو يستخرج البيانات السرية وينقلها إلى منصات رقمية أخرى دون موافقة الضحية.
التفاصيل الفنية لبرامج تحديث “أدوبي فلاش” المُزيفة
أشار “دنكان” أنه ليس من الواضح تمامًا كيف يصل الضحايا إلى عناوين URL التي تقدم تحديثات الفلاش المزيفة؛ ومع ذلك، كانت حركة مرور الشبكة أثناء عملية الإصابة مرتبطة بشكل أساسي بتحديثات فلاش الخادعة. ومن المثير للاهتمام أن خادم نظام التشغيل المصاب يقوم بإنشاء طلب HTTP POST إلى [osdsoft [.] com]، وهو مجال مرتبط بمحدثين أو مُثبِّتين لتنزيل برمجيات التعدين.
وقال إنه بينما بحث فريق البحث عن تحديثات معينة خاصة بالفلاش، فقد راقب بعض الملفات التنفيذية لنظام التشغيل “ويندوز” التي تبدأ بأسماء Adobe Flash Player من خوادم الويب غير المستندة إلى “أدوبي” المستندة إلى مجموعة النُظراء. تحتوي هذه التنزيلات عادةً على سلسلة توجيه “flashplayer_down.php؟ clickid =” في عنوان URL. كما عثر الفريقان على 113 نموذجًا من البرامج الضارة التي تستوفي هذه المعايير منذ ابريل 2018 في وضعية الضبط التلقائي. يتم تعريف 77 من هذه العينات الضارة بعلامة CoinMiner. تشترك العينات الـ36 المتبقية في علامات أخرى مع تلك الملفات التنفيذية المتعلقة بـ 77 CoinMiner.
شجع “دنكان” مستخدمي نظام التشغيل (ويندوز) على أن يكونوا أكثر حذرًا حول تحديثات “Adobe Flash” التي يحاولون تثبيتها مُشيرًا إلى أن النوافذ المنبثقة والتحديث التلقائي تجعل البرنامج المثبت “المزيف” يبدو وكأنه برنامج آمن وشرعي، وسيظل الضحايا يتلقون إشارات لتنزيل برنامج التعدين الضار على جهاز الكمبيوتر الخاص بهم ويندوز.
في كلماته:
“إن المنظمات التي تتمتع بتصفية ويب جيدة والمستخدمين الواعيين لتلك الحيل ستقل لديهم مخاطر الإصابة بهذه التحديثات المزيفة.”
وذكرت شبكة (CCN) مؤخراً أن هناك تقريرًا صدر من مختبرات “مكافي McAfee” أظهر ارتفاع عمليات “اصطياد التشفير Cryptojacking” بنسبة 86٪ في الربع الثاني من عام 2018 وأنها تُعد الوسيلة الأكثر استخدامًا من قبل القرصنة نظرًا لأرتفاع نسبة استخدامها في عام 2018 إلي 459٪ مقارنة بما كانت عليه في عام 2017 بأكمله.