تعليمات برمجية ضارة من سجلات DNS لسرقة العملات المشفرة

في فبراير 7, 2024

يعد استخدام الألعاب أو التطبيقات المقرصنة لنشر البرامج الضارة إحدى أقدم الحيل التي يستخدمها مجرمو الإنترنت. وقد يبدو الأمر لا يصدق، إلا أن الضحايا السذج الذين يؤمنون بروبن هود ويفكرون أن تنزيل البرامج والألعاب المقرصنة من مواقع القرصنة آمن تمامًا لا يزالون موجودين في عام 2024. وقد يكون نوع التهديد نفسه قديمًا، لكن الجهات الخبيثة تواصل ابتكار طرق جديدة للتحايل على الأمان على أجهزة كمبيوتر الضحايا لتقديم برامج ضارة.

اكتشفت كاسبرسكي مؤخرًا حملة جديدة من هذا النوع تستهدف أجهزة كمبيوتر Apple التي تعمل بإصدارات أحدث من macOS (13.6 والإصدارات الأحدث) وتستفيد من ميزات معينة لنظام اسم المجال (DNS) لتنزيل حمولات ضارة. ويُعرض على الضحايا تنزيل الإصدارات المقرصنة من التطبيقات الشائعة مجانًا. إذن ما الذي يخبئونه للأشخاص الذين يستسلمون للإغراء؟

التفعيل المزيف

بعد تنزيل صورة قرص يُزعم أنها تحتوي على التطبيق المقرصن، يُطلب من الضحية نسخ ملفين إلى مجلد التطبيقات: التطبيق نفسه وما يسمى بـ “أداة التفعيل”. وإذا نسخت التطبيق فقط وقمت بتشغيله، فلن يعمل. ووفقًا للدليل، يجب “تفعيل” التطبيق المقرصن أولاً. وتوصل تحليلنا إلى أن أداة التفعيل لا تفعل أي شيء معقد: ببساطة تزيل عدة بايتات من بداية التطبيق القابل للتنفيذ لجعله قادرًا على العمل. بمعنى آخر، أدخل مجرمو الإنترنت تعديلات على تطبيق سبق قرصنته لمنعه من العمل ما لم يتم “تفعيله” أولاً. وليس من المستغرب أن يكون لأداة التفعيل تأثير جانبي سيئ: تطلب أذونات المسؤول عند تشغيلها، وتستخدمها لتثبيت برنامج نصي لأداة تنزيل في النظام. ثم يقوم البرنامج النصي بعد ذلك بتنزيل حمولة إضافية من الويب – ثغرة باب خلفي تطلب الأوامر من مشغليها بين الحين والآخر.

الربط عبر DNS

لتنزيل البرنامج النصي الخبيث، تستخدم أداة التفعيل أداة غريبة وبريئة المظهر: نظام اسم المجال (DNS). وقد كتبنا عن نظام اسم المجال (DNS) ونظام اسم المجال (DNS) الآمن في وقت سابق، لكننا أهملنا ميزة فنية مثيرة للاهتمام في الخدمة. لا يربط كل سجل DNS اسم الخادم على الإنترنت بعنوان IP الخاص به فحسب، بل يمكن أن يحتوي أيضًا على وصف نصي حر للخادم – يسمى سجل TXT. وهذا ما استغلته الجهات الخبيثة من خلال تضمين مقتطفات من التعليمات البرمجية الضارة في سجلات TXT. وتقوم أداة التفعيل بتنزيل ثلاثة سجلات TXT تنتمي إلى مجال ضار ويقوم بتجميع برنامج نصي منها.

على الرغم من أن الإعداد يبدو معقدًا، إلا أنه يحتوي على عدد من المزايا. أولاً، لا تقوم أداة التفعيل بأي شيء مريب بشكل خاص: أي تطبيق ويب يطلب سجلات DNS – هذه هي الطريقة التي يجب أن تبدأ بها أي جلسة اتصال. ثانيًا، تستطيع الجهات الخبيثة تحديث البرنامج النصي بسهولة لتعديل نمط الإصابة والحمولة النهائية عن طريق تحرير سجلات TXT الخاصة بالمجال. وأخيرًا، فإن إزالة المحتوى الضار من الويب ليست مهمة سهلة نظرًا للطبيعة الموزعة لنظام أسماء المجالات. وسيجد مقدمو خدمات الإنترنت والشركات صعوبة في اكتشاف انتهاك سياساتهم لأن كل سجل من سجلات TXT هذه هو مجرد مقتطف من التعليمات البرمجية الضارة التي لا بشكل أي تهديد في حد ذاته.

الرئيس النهائي

يسمح البرنامج النصي للتنزيل الذي يتم تشغيله بشكل دوري للمهاجمين بتحديث الحمولة الضارة وتنفيذ أي إجراءات يريدونها على كمبيوتر الضحية. وفي وقت إجراء تحليلنا، أظهروا اهتمامًا بسرقة العملات المشفرة. ويفحص الباب الخلفي تلقائيًا الكمبيوتر الخاص بالضحية للبحث عن محافظ Exodus أو Bitcoin، واستبدالها بإصدارات مصابة بفيروس حصان طروادة. وتسرق محفظة Exodus المصابة عبارة الاسترداد الخاصة بالمستخدم، وتسرق محفظة Bitcoin المصابة – مفتاح التشفير المستخدم لتشفير المفاتيح الخاصة. ويمنح هذا الأخير المهاجمين القدرة على توقيع التحويلات نيابة عن الضحية. وهذه هي الطريقة التي يمكن بها للمرء أن يحاول توفير بضع عشرات من الدولارات عندما يستخدم التطبيقات المقرصنة، ليخسر مبلغًا أكبر بكثير من العملات المشفرة.

حماية نفسك من أي هجوم على محافظ العملات المشفرة

هذا ليس جديدًا لكنه لا يزال صحيحًا: للابتعاد عن هذا التهديد وتجنب الوقوع ضحية له، قم بتنزيل التطبيقات من الأسواق الرسمية فقط. وقبل تنزيل تطبيق من موقع ويب أحد المطورين، تأكد أنه العنصر الأصلي وليس من أحد مواقع التصيد الاحتيالي العديدة.

إذا كنت تفكر في تنزيل نسخة مقرصنة من أحد التطبيقات، فكر مرة أخرى. ومن النادر مثل الجان ووحيدات القرن العثور على مواقع قرصنة “دقيقة وجديرة بالثقة”.

بغض النظر عن مدى تقديرك لمعرفتك بالكمبيوتر والحذر والاهتمام بالتفاصيل، تأكد من استخدام الأمان الشامل على جميع أجهزتك: الهواتف والأجهزة اللوحية وأجهزة الكمبيوتر.