AdvancedIPSpyware أداة تجسس بمنفذ خلفي تستهدف المؤسسات حول العالم

أورد خبراء كاسبرسكي وصفاً مفصلاً للبرمجية AdvancedIPSpyware في تقرير حديث عن برمجيات الجريمة الرقمية. وأوضح الخبراء أن هذه البرمجية عبارة عن نسخة خبيثة من الأداة الشبكية الشهيرة Advanced IP Scanner التي يستخدمها مسؤولو الشبكات للتحكّم في شبكات المنطقة المحلية (LAN)، وأن هذه النسخة الخبيثة متخفية ومزوّدة بمنفذ خلفي. وأصابت هذه الأداة الخبيثة ضحايا كثراً في أمريكا اللاتينية وإفريقيا وأوروبا الغربية وجنوب آسيا وأستراليا وبلدان رابطة الدول المستقلة.

وأصبح من الشائع في أوساط الجريمة الرقمية إضافة شيفرات برمجية خبيثة إلى برمجيات حميدة معروفة، لتحويلها إلى برمجيات خبيثة متخفية وخداع المستخدمين بها. لكن خبراء كاسبرسكي أشاروا هذه المرة إلى أمر غير مألوف يتمثل في أن الملف الثنائي ذا المنفذ الخلفي يحمل توقيعًا رقميًا. ويُعدّ AdvancedIPSpyware إصداراً ذا منفذ خلفي من الأداة Advanced IP Scanner التي يستخدمها مسؤولو الشبكة للتحكم في الشبكات المحلية. ومن المرجح أن تكون شهادة التوقيع الرقمي التي تحملها البرمجية الخبيثة مسروقة. وقد تمت استضافة هذه البرمجية على موقعين بنطاقين يتطابقان تقريباً مع نطاق موقع ويب Advanced IP Scanner الرسمي، إذ لا يختلفان سوى في حرف واحد فقط. كذلك، يبدو تصميم المواقع متشابهة، أما الاختلاف الوحيد فيتمثل في زر “التنزيل المجاني” على الموقعين الخبيثين.

الملف الأصلي الموقّع في مقابل الملف الخبيث الموقّع

ويتسم هذا الإصدار الخبيث بميزة أخرى غير شائعة تتمثل في كون البنية معيارية أو نمطية. وعادةً ما تُرصد البنى المعيارية في البرمجيات الخبيثة التي تتبع عصابات تحظى برعاية حكومية، لا في العصابات الإجرامية. لكن في هذه الحالة لم تكن الهجمات موجهة، ما يدفع إلى الاستنتاج بأن AdvancedIPSpyware لا يدلّ على حملات ذات دوافع سياسية.

وتركت حملة AdvancedIPSpyware تأثيرًا كبيرًا في المستخدمين المصابين في أمريكا اللاتينية وإفريقيا وأوروبا الغربية وجنوب آسيا وأستراليا وبلدان رابطة الدول المستقلة، حيث بلغ العدد الإجمالي للضحايا حوالي 80 ضحية.

ويتضمن تقرير برمجيات الجريمة الرقمية المنشور على Securelist، بالإضافة إلى ما تقدّم، النتائج التالية:

• BlackBasta، عصابة فدية اكتُشفت في يوليو الماضي، أضافت وظائف تُعيق البحث الجنائي في الجرائم الرقمية وتصعّب الكشف عنها، مع تمتّع برمجياتها الخبيثة بالقدرة على الانتشار في الشبكة.
• شهد الباحثون مزايا جديدة أضيفت إلى أداة السرقة الرقمية CLoader، التي اكتشفت لأول مرة في إبريل الماضي. واستخدمت العصابة ألعاب فيديو وبرمجيات مقرصنة كطعم لخداع المستخدمين ودفعهم لتثبيت برمجيات خبيثة. وكانت الملفات التي تم تنزيلها عبارة عن مثبتات NSIS، تحتوي على شيفرات خبيثة في النص الخاص بالتثبيت.
• في أغسطس الماضي، اكتُشفت حملة نشطة منذ بداية العام على الأقلّ، ينصبّ تركيزها على الأفراد الناطقين بالصينية. فقد جرى تحميل مقطع فيديو يقدم إرشادات حول طريقة تثبيت متصفح Tor المحظور في الصين، وذلك على قناة يوتيوب صينية شهيرة تركّز على مسألة إخفاء الهوية على الإنترنت. لكن بدل أن يحصل المستخدم على متصفح Tor الأصلي عند النقر على الرابط في شرح الفيديو، فإنه يحصل على إصدار مصاب من المتصفح.

وأكّد يورن فان دير فيل الخبير الأمني لدى كاسبرسكي، أن البريد الإلكتروني يُعدّ من طرق الإصابة الأكثر شيوعاً التي يستخدمها مجرمو الإنترنت والعصابات المدعومة من الحكومات، وقال: “هذه المرة ألقينا نظرة على الأساليب الأقلّ شيوعاً التي يلجأ إليها مجرمو الإنترنت، سواء المعروفون أو من ظلّوا ينشطون في الخفاء، ومن ذلك البرمجية AdvancedIPSpyware بهيكلتها غير المألوفة، واستغلالها لأداة أصلية وإطلاقها نسخة متطابقة تقريباً من موقع الويب الرسمي لهذه الأداة”.