- $30 DarkCloud يقوم بجمع بيانات الاعتماد بهدوء عبر المتصفحات والبرمجيات المؤسسية
- رمز Visual Basic القديم يساعد بشكل غير متوقع البرمجيات الخبيثة على التهرب من بعض أدوات الكشف الحديثة
- الأدوات الرخيصة لسرقة البيانات تقود بشكل متزايد اختراقات الشبكات المؤسسية في مراحلها الأولى
تتوفر أدوات البرمجيات الخبيثة منخفضة التكلفة بشكل متزايد على الشبكة المظلمة، مما يوفر قدرات سرقة البيانات للأفراد ذوي المعرفة التقنية المحدودة.
حلل باحثو الأمن في Flashpoint مؤخرًا سلالة من البرمجيات الخبيثة تعرف باسم DarkCloud، والتي انتشرت عبر قنوات تليجرام والمتاجر العامة منذ حوالي عام 2022.
متاحة مقابل حوالي 30 دولارًا، أقل من سعر العديد من ألعاب الكونسول، تقوم الأداة بجمع بيانات الاعتماد على نطاق واسع، حيث قد تتضمن المعلومات المسروقة تسجيلات الدخول إلى المتصفح، والكوكيز، وبيانات مالية، ومعلومات الاتصال من تطبيقات البريد الإلكتروني.
يستمر المقال أدناه
أدوات جمع المعلومات الرخيصة تخفض حاجز دخول الجريمة الإلكترونية
تسوق DarkCloud نفسها كبرمجيات للمراقبة في القوائم العامة، على الرغم من أن وظيفتها الداخلية تركز على استخراج بيانات الاعتماد والبيانات الحساسة من الأجهزة المصابة.
يقول الباحثون إن هذا النوع من أدوات جمع المعلومات أصبح نقطة دخول متكررة إلى الشبكات المؤسسية، حيث تؤدي بيانات الاعتماد المخترقة غالبًا إلى اختراق أعمق للشبكة.
أحد الجوانب غير العادية في DarkCloud هو استخدامه لبيئة البرمجة القديمة Visual Basic 6.0، حيث يتم كتابة حمولة البرمجيات الخبيثة بهذه اللغة القديمة قبل تجميعها في برنامج تنفيذي محلي.
يعتمد Visual Basic 6.0 على مكونات زمن التشغيل القديمة التي لا تزال تعمل على أنظمة Windows الحديثة – ووفقًا لخبراء Flashpoint، قد يقلل هذا الخيار في التصميم من معدلات الكشف في بعض أدوات الأمن لأن العديد من أنظمة الكشف تركز على أطر التطوير الحديثة.
تستخدم البرمجيات الخبيثة أيضًا طبقات متعددة من تشفير السلاسل وإخفاء الهوية، مما يعقد عملية الهندسة العكسية والتحليل الثابت.
تظل السلاسل الداخلية مشفرة حتى وقت التشغيل، حيث يعيد مولّد عشوائي زائف تجميعها من خلال عمليات حتمية.
لا تعتمد هذه التقنيات على تشفير حديث، بل تستغل سلوكيات متوقعة داخل بيئات البرمجة القديمة.
تتركز DarkCloud على جمع بيانات الاعتماد وبيانات التطبيقات من مجموعة واسعة من البرمجيات، مستخرجةً المعلومات من متصفحات الويب، وعملاء البريد الإلكتروني، وبرامج نقل الملفات، والعديد من أدوات الاتصال.
تُخزّن البيانات التي تم جمعها محليًا داخل دلائل تم إنشاؤها تحت مسار قوالب Windows.
تحتوي إحدى الدلائل على ملفات قاعدة بيانات منسوخة، بينما تحتوي أخرى على معلومات تمت معالجتها مكتوبة بصيغة نص غير مشفر.
يسمح هذا النظام المرحلة للبرمجيات الخبيثة بتجميع سجلات منظمة قبل نقلها خارجيًا.
تدعم الأداة عدة طرق لنقل المعلومات المسروقة.
تتضمن هذه النقل عبر البريد الإلكتروني من خلال SMTP، ونقل الملفات باستخدام خوادم FTP، والتواصل عبر قنوات تليجرام، ورفع مباشر عبر HTTP.
نظرًا لأن بيانات الاعتماد المخترقة غالبًا ما تسمح بالحركة الجانبية داخل الشبكات، قد يقوم المهاجمون فيما بعد بنشر برامج الفدية، وإطلاق عمليات تصيد، أو الحفاظ على وصول دائم.
حتى أقل حماية نقاط النهاية أو جدار ناري تم تكوينه بشكل صحيح قد يكافح للكشف عن الأنشطة إذا كانت البرمجيات الخبيثة تستخدم بروتوكولات شرعية.
لذلك تعتمد فرق الأمان بشكل متكرر على ضوابط طبقية، بما في ذلك مراقبة بيانات الاعتماد وإجراءات الاستجابة للحوادث إلى جانب أدوات إزالة البرمجيات الخبيثة.
تشير الاستمرار في تداول أدوات جمع المعلومات غير المكلفة إلى أن انخفاض تكلفة الدخول، بدلاً من التعقيد التقني، يقود بشكل متزايد إلى اختراق الشبكات في مراحلها الأولى.
تابع TechRadar على أخبار Google و أضفنا كمصدر مفضل للحصول على أخبارنا، والمراجعات، والآراء من خبراءنا في خلاصة الأخبار الخاصة بك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا متابعة TechRadar على TikTok للحصول على الأخبار، والمراجعات، وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضًا.
