كشف خبراء الأمن السيبراني عن الاستغلال النشط لثغرة أمنية، ما أدّى إلى نشر سلالة جديدة من البرامج الضارة تُسمَّى "فيميدرون ستيلر" (Phemedrone Stealer)، وهي أداة مفتوحة المصدر لسرقة المعلومات، على الحواسيب التي تعمل بنظام ويندوز.
برمجية خبيثة تستغل ثغرة أمنية في ويندوز
تستهدف الثغرة الأمنية المُسماة CVE-2023-36025 مايكروسوفت ويندوز ديفيندر سمارت سكرين (Microsoft Windows Defender SmartScreen) المدمج في نظام ويندوز، والتي تعمل على حماية المستخدمين من المواقع الضارة والتطبيقات المشبوهة عن طريق فحص المواقع والتطبيقات للكشف عن البرامج الضارة والتحذير منها، وتقديم تحذيرات للمستخدمين قبل تحميل المحتوى الضار. تساعد هذه التقنية على زيادة أمان المستخدمين عند تصفح الإنترنت وتنزيل الملفات.
تسرق البرمجيات الخبيثة، التي تحمل اسم فيميدرون ستيلر، البيانات الحساسة من الجهاز المختَرق، مثل كلمات المرور وملفات تعريف الارتباط للمصادقة، وتسربها إلى المهاجمين. تستهدف هذه البرمجيات الضارة متصفحات الويب وتجمع البيانات من محافظ العملات المشفرة وتطبيقات المراسلة مثل تيليجرام، وتجمع معلومات النظام، بما في ذلك تفاصيل الأجهزة والموقع، وترسل البيانات المسروقة إلى المهاجمين من خلال تيليجرام أو خادم القيادة والتحكم (C&C) الخاص بهم.
اقرأ أيضاً: كيف يمكن اختبار النظام الأمني للشركة لمواجهة التهديدات السيبرانية بكفاءة؟
كيف تستغل البرمجية الخبيثة الثغرة الأمنية في ويندوز؟
تسمح الثغرة الأمنية CVE-2023-36025 للجهات الفاعلة في مجال التهديد السيبراني بالتغلب على عمليات فحص ديفيندر سمارت سكرين والمطالبات المرتبطة بها. لإساءة استخدام الثغرة، سيحتاج المهاجم إلى إنشاء اختصار إنترنت مخصص (.URL)، أو رابط تشعبي يشير إلى اختصار، على الخدمات السحابية مثل "ديسكورد" (Discord) أو "فايل ترانسفر" (FileTransfer.io)، حيث يستخدم المهاجمون اختصارات URL لإخفاء هذه الملفات.
بمجرد تنفيذ ملف .URL الخبيث الذي يستغل الثغرة الأمنية، تستخدم البرمجيات الضارة تقنيات التهرب الدفاعي لإخفاء وجودها. تحقق البرمجيات الضارة الثبات من خلال إنشاء مهام مجدولة.
تتضمن المرحلة التالية كوداً مفتوح المصدر يُسمَّى "دونت" (Donut)، يُتيح تنفيذ أنواع مختلفة من الملفات في الذاكرة، ثم تستهدف البرمجيات الضارة مجموعة واسعة من التطبيقات والخدمات، وتستخرج منها المعلومات الحساسة، بما في ذلك بيانات الاعتماد، من المتصفحات ومحافظ العملات المشفرة وغيرها.
بعد ذلك، تضغط البرمجية الخبيثة البيانات المجمعة وترسلها عبر واجهة برمجة تطبيقات تيليجرام التي تضمن سلامة البيانات، وترسل تقريراً مفصلاً عن معلومات النظام إلى المهاجمين.
اقرأ أيضاً: ما أنواع الثغرات الأكثر شيوعاً التي تشكّل مدخلاً للهجمات السيبرانية؟
مايكروسوفت تواجه المتسللين وتصحح الثغرة الأمنية
نشرت مايكروسوفت تصحيحاً للثغرة الأمنية CVE-2023-36025 في منتصف نوفمبر/تشرين الثاني 2023، إلّا أن الجهات الفاعلة في مجال التهديد تستمر في استغلال هذه الثغرة الأمنية، ولا يزال المتسللون يبحثون عن الأنظمة الضعيفة التي لم تصحح الثغرة الأمنية فيها، لذا يوصى بشدة بتثبيت تحديثات ويندوز وتطبيق الإصلاح لسد هذه الثغرة والتخلص من البرمجية الخبيثة.
ومع ذلك، دفع استغلالها وكالة الأمن السيبراني وأمن البنية التحتية (CISA) إلى إدراجها في قائمة الثغرات الأمنية المستغلة المعروفة (KEV).