بدأجيل جديد من برمجيات الخبيثةالجاسوسة في الإنتشار والتي لا تكتفي بالتجسس وسرقة البيانات بل تدمر جهازالكمبيوتر في حال كشفها.
التفاصيل عن هذاالتهديد مع نايلة الصليبي
Rombertik برنامج تجسس خبيث يهدد حاليا أجهزة الكمبيوترالمتصلة بالشبكة، كشف عنه مختبر التابع لشركة تالوس سيسكو ،الذي صنفه كجيل جديد من البرمجيات الخبيثة الجاسوسة التي تشكل تهديدا جديا لبيانات المستخدمين .
فالفيروسات والبرمجيات الخبيثة لها مراحل كبرى متفاوتة للبروز والإنتشار، منذ عشرين عاما كثير من الفيروسات كان هدفها إرهاق المستخدمين بتدمير بياناتهم وتخريب أجهزتهم . ومع إنتشار إستخدامات الإنترنت إكتشف القراصنة أن بيانات المستخدم هي منجم دسم للسوق السوداء و للإبتزاز ومن الأفضل الإستيلاء عليها بدل تدميرها. فيختبئ البرنامج الخبيث طويلا في جهاز المستخدم للتجسس ليستولي على أكبر قدر ممكن من البيانات. و Rombertik هو من بين تلك البرامج الجاسوسة الخبيثة الذي يغرف أكبرقدر ممكن من البيانات لعله يعثر على بيانات دسمة كأسماء الإستخدام و كلمات المرور لمختلف الخدمات وطبعا البيانات المصرفية.
حسب خبراء أمن Talos، فإن برنامج Rombertik الخبيث ينتشر من خلال رسائل الإصطياد الـPhishing التقليدية وهي رسائل إحتيال بإسم شركة Windows Corporation و هي شركة وهمية لا وجود لها وهدفها خداع المستخدم الذي لا يمكنه التمييز أو فهم أن نظام التشغيل ويندوز هو من شركة مايكروسوفت و ليس شركة قائمة بحد ذاتها.
تطلب رسائل الإصطياد هذه من المستخدم النقر على الملف المرفق الملوث بالبرنامج الخبيث لتفعيله بحجة مراجعة خصائص الجهاز. وينقر المستخدم الذي وقع في فخ الإصطياد على الملف المرفق المضغوط فيفك ضغط هذا الملف الذي يظهر للمستخدم بنسق الملفات المحمولة PDF مع أيقونة صغيرة على شكل لائحة تفهرس خصائص وهمية.
ملف Rombertik هو في الواقع من نسق .SCR الذي يستخدمه نظام التشغيل ويندوز لتشغيل الـSreenSaver أوحافظ الشاشة. هذا الملف يحوي شيفرة البرنامج الخبيث Rombertik. الذي بعد النقر على الملف المرفق يبدا مرحلة طويلة لتلويث الجهاز ، بداية يستكشف البيئة التي فعل بها على أنها ليست المنطقة الآمنة التي تعرف بالـSandbox التي تستخدم للتحقق من البرمجيات غير الموثوقة، كشف مختبر Talos أن Rombertik يحوي خصائص تجعله قادرا على تخطي تلك الأماكن الآمنة.إذ يقوم بكتابة أوكتيت بسيط تسع ماية مليون مرة في ذاكرة الجهاز فيؤدي إلى إنتاج ملف بحجم مائة جيجابايت. ما يعقد و يعرقل عمل تحليل برامج الحماية. عندها يتسلل خارج المنطقة الآمنة وينتج سكريبت تتيح له الإنطلاق في مرحلة إقلاع نظام التشغيل ويختبئ في مجلد AppData في نظام ويندوز والذي يميز برنامج Rombertik الخبيث إحتوائه لـ97% من شيفرة غير مستخدمة ما يعني أن القراصنة الذين طوروا هذا البرنامج الخبيث وضعوا فيه شيفرات مع وظائف مختلفة لتعقيد عملية الفحص والتحليل .
ينجح Rombertik بإختراق نظام التشغيل عملية التجسس والإستيلاء على بيانات المستخدم والعمل كأي برنامج جاسوس، لكن الأمر الذي أقلق خبراء الأمن ليس فقط عدد الآليات المختلفة في شيفرته للتخفي والتحايل على أدوات التحليل الأمني بل قدراته التخريبية. ففي حال تم الكشف عن شيفراته وعمله يحاول Rombertik الإختفاء عن طريق تدمير سجل الإقلاع الرئيسيMaster Boot Record مما يؤدي إلى عدم توقف عملية الإقلاع المستمر للجهاز وإلى تعطيل القرص الصلب، ما يعني اللجوء لإعادة تثبيت نظام التشغيل وفقدان كل البيانات، ثم في حالة الفشل في تدمير سجل الإقلاع الرئيسي يقوم Rombertik بتشفير ملفات المستخدم بمفاتيح تستخدم خوارزميات تشفير من نوع Rivest Cipher 4- RC4 التي يتم توليدها بشكل عشوائي. مما يجعل إسترجاع تلك الملفات أمرا مرهقا وصعبا.
لم يكشف خبراء Talos إذا كان هذا البرنامج الخبيث يستغل هفوات برمجية في نظام التشغيل ويندوز .
النصيحة لكم الدائمة عدم النقر على الملفات المرفقة في رسائل البريد الإلكتروني من مصادر مجهولة أو غير موثوقة .
المصدر : مونت كارلو الدولية
الكاتبة : نايلة الصليبي
