حملة البرامج الضارّة ChromeLoader تستهدف مستخدمي مواقع المواد المقرصنة

أصدرت شركة HP Inc. اليوم؛ تقرير تحليلات التهديدات من HP Wolf Security ربع السنوي، والذي يُبيّن قيام المهاجمين بالاستيلاء على متصفّحات Chrome الخاصّة بالمستخدمين عند محاولتهم تنزيل أفلام رائجة أو ألعاب فيديو من مواقع القرصنة.

تقدم حلول HP Wolf Security تحليلات متعمقة تختص[i] بأحدث التقنيات التي يستخدمها المخترقون في عالم الجرائم الإلكترونية متسارع التغير، وذلك من خلال عزل التهديدات التي راوغت أدوات الكشف على أجهزة الكمبيوتر الشخصي. وحتى الآن، قام عملاء خدمة HP Wolf Security بالنقر على أكثر من 30 مليار من مرفقات البريد الإلكتروني وصفحات المواقع الإلكترونية والملفات التي تم تنزيلها دون الإبلاغ عن أي انتهاكات.

واستنادًا إلى بيانات ملايين الوحدات التي تشغّل حلول HP Wolf Security [ii] كشف الباحثون ما يلي:

• صعوبة التخلص من إضافة المتصفح The Shampoo Chrome: تقوم الحملة بتوزيع برنامج ChromeLoader الضارّ من خلال خداع المستخدمين لتثبيت إضافة ضارّة تسمى Shampoo على متصفح Chrome، والتي يمكنها إعادة توجيه استعلامات البحث الخاصّة بالمستخدم المستهدف نحو مواقع الويب الضارّة، أو الصفحات التي ستعود بالأموال إلى الجماعة الإجرامية من خلال الحملات الإعلانية. ويتميز البرنامج الضارّ بكونه شديد المقاومة والثبات؛ حيث يعتمد على استخدام برنامج جدولة المهام Task Scheduler لإعادة تشغيل نفسه كل 50 دقيقة.
• تجاوز المهاجمين لإعدادات أمان الماكرو باستخدام النطاقات الموثوقة: نظرًا لتعطيل وحدات الماكرو من المصادر غير الموثوقة، وجدت HP أنّ المهاجمين يتجاوزون عناصر التحكّم بهذه الوحدات عبر اختراق حساب Office 365 موثوق، وتكوين بريد إلكتروني جديد للشركة، وتوزيع ملف Excel ضارّ يصيب المستخدمين المستهدفين ببرنامج سرقة البيانات Formbook.
• تحذير الشركات من الأخطار الكامنة: تستخدم الشركات مستندات OneNote كدفاتر ملاحظات رقمية، بحيث يمكن إرفاق أي ملف بداخلها. ويستفيد المهاجمون من ذلك في تضمين ملفات ضارّة خلف أيقونات “أنقر هنا” المزيفة. ويؤدي النقر فوق الأيقونة المزيفة إلى فتح الملفّ المخفي وتنفيذ البرامج الضارّة التي تمنح المهاجمين إمكانية الوصول إلى أجهزة المستخدمين. وفيما بعد، يمكن بيع إمكانية الوصول لمجموعات الجرائم الإلكترونية وعصابات برامج طلب الفدية الأخرى.
• في يناير، قامت مجموعات متطوّرة مثل Qakbot و IcedID بتضمين برامج ضارّة في ملفات OneNote لأول مرة. والآن، مع توفّر مجموعات OneNote في أسواق الجرائم الإلكترونية، والتي تتطلب القليل من المهارات التقنية لاستخدامها، يبدو أن حملات البرامج الضارّة المتعلقة بها ستواصل انتشارها خلال الأشهر القادمة.

وفي هذا الصدد، أوضح باتريك شلبفر، محلّل البرامج الضارّة في فريق HP Wolf Security لأبحاث التهديدات، قائلًا: “ننصح المستخدمين والشركات بتجنّب تنزيل المواد من مواقع غير موثوقة، وخاصة مواقع القرصنة، لحمايتهم من التهديدات الحديثة. ويجب على الموظفين توخّي الحذر من المستندات الداخلية المشبوهة، والتحقق من الجهة المرسلة قبل فتحها. كما ينبغي على المؤسسات أيضًا ضبط بوابة البريد الإلكتروني وإعدادات أدوات الأمان لحظر ملفات OneNote الموجّهة من مصادر خارجية غير معروفة”.

ويُظهر التقرير أيضًا أن مجموعات الجرائم الإلكترونية تواصل تنويع أساليب الهجوم لتجاوز بوابات البريد الإلكتروني، ابتداءً من ملفات الأرشيف الضارّة وحتى تسريب برامج HTML، حيث يبتعد المهاجمون عن تنسيقات Office. وشملت نتائج التقرير ما يلي:

• للربع الأخير على التوالي، كانت ملفات الأرشيف من أكثر وسائل نقل البرامج الضارّة شيوعًا (بنسبة 42%)، وذلك مع نهاية تحليل التهديدات من قبل HP Wolf Security في الربع الأول.

• تسجيل ارتفاع (بنسبة 37%) في تهديدات تسريب برامج HTML بالمقارنة بين الربعين الأول والأخير.
• تسجيل ارتفاع بمقدار 4 نقاط في تهديدات PDF بالمقارنة بين الربعين الأول والأخير.
• تسجيل انخفاض بمقدار 6 نقاط في نسبة برامج Excel الضارّة (من 19% إلى 13%) بالمقارنة بين الربعين الأول والأخير، حيث أصبح تشغيل وحدات الماكرو في هذا التنسيق أكثر صعوبة.
• في الربع الأول من عام 2023، تمكّنت نسبة (14%) من تهديدات البريد الإلكتروني التي حدّدتها تقنية HP Sure Click من تجاوز واحدة أو أكثر من أدوات الفحص في البوابات الإلكترونية.
• كان البريد الإلكتروني هو المسار الأهمّ للتهديد في الربع الأول بنسبة (80%)، ويليه تنزيل المتصفح بنسبة (13%).

وفي معرض تعليقه على النتائج، قال الدكتور إيان برات، الرئيس العالمي لأمان الأنظمة الشخصية في شركة HP Inc: “يجب على المؤسسات اتباع مبادئ “نهج انعدام الثقة” لعزل واحتواء الأنشطة الخطرة، مثل فتح مرفقات البريد الإلكتروني أو النقر فوق الروابط أو تنزيلات المتصفح، للحماية من الهجمات المتنوّعة والمتزايدة، وتقليل المساحة المعرّضة للهجوم ومخاطر الاختراق إلى حدّ كبير”.

تعمل خدمة HP Wolf Security على إدارة مهام محفوفة بالمخاطر؛ مثل فتح مرفقات البريد الإلكتروني وتنزيل الملفات والنقر على الروابط عبر أجهزة افتراضية صغيرة معزولة (micro-VMs) لحماية المستخدمين، والتقاط الآثار التفصيلية لمحاولات الاختراق. وتعمل تقنية عزل التطبيقات من HP على الحدّ من التهديدات التي قد تتخطّى وسائل الأمان الأخرى، وتقدم تحليلات فريدة من نوعها بشأن أساليب الاختراق الجديدة وسلوكيات المهاجمين.