كان كاتب هذا المنشور يعرض برنامجًا خبيثًا من الممكن أن يتم استخدامه في مهاجمة “100 مصرفًا تقريبًا”، وذلك عن طريق زرع تعليمات برمجية إضافية على المواقع الإلكترونية للمصارف؛ بحيث تُعرَض على المتصفحات إنترنت إكسبلورر وفايرفوكس، ومع وصلات VNC، بالإضافة إلى وسائل أخرى تتيح فرصة مهاجمة “أي بنك في أي دولة.”
على الفور بدأت كاسبرسكي لاب في التنقيب والبحث، واكتشفت أن البرنامج الذي كان يعرضه المستخدمين الخبثاء (المجرمون) ما هو سوى برنامج Trojan-Banker.Win32/64.Neverquest. وقبل منتصف تشرين الثاني/ نوفمبر، سَجَّلت ورصدت كاسبرسكي لاب عدة آلاف من الإصابات والعدوى التي تسبب فيها Neverquest في جميع أنحاء العالم. ويُعَد هذا التهديد جديدًا نوعًا ما، وما زال مجرمو الإنترنت لا يستخدمون هذا البرنامج بكامل قدراته. وفي ضوء قدرات النسخ المتماثل الذاتي الخاصة ببرنامج Neverquest، يمكن لعدد المستخدمين المهاجمين أن يتزايد بصورةٍ كبيرة خلال فترةٍ قصيرة من الزمن.
تحليل الملفات القابلة للتنفيذ
| executable md5 |
تاريخ التجميع |
| 0eb690560deb40bec1a5a9f147773d43 |
الخميس 5 أيلول/ سبتمبر 2013، 12:33:35 |
| 212a7ef73af17a131bb02aa704aa1b14 |
الخميس 29 آب/ أغسطس 2013، 15:30:01 |
| 2a9e32e488c3e6d5ba8dc829f88ba31b |
الجمعة 23 آب/ أغسطس 2013، 12:10:14 |
| 385509d00c7f652689a13df0c4142a91 |
السبت 28 كانون الأول/ أكتوبر 2000، 05:37:40 |
| 5c6f1704632afbbaa925fa71ebc2f348 |
الأربعاء 28 آب/ أغسطس 2013، 10:22:16 |
| 61720b34825e28e05c6a85a20dd908c9 |
الاثنين 2 أيلول/ سبتمبر 2013، 16:41:05 |
| 79da4f9675b87d261cb1b9cb9c47e70a |
الاثنين 26 آب/ أغسطس 2013، 14:35:00 |
| 808b13ebae56569db0f7f243fab9e9ed |
الأربعاء 4 أيلول/ سبتمبر 2013، 10:50:18 |
| 8e918b0f0643b1e6a7ae1ebf8fbaaec7 |
الخميس 5 أيلول/ سبتمبر 2013، 12:50:17 |
| a22cf98fb397b537de0f9c9f4263b6a5 |
الاثنين 11 أيلول/ سبتمبر 2000، 02:47:52 |
| b26578721c11bf387ed72b02c1237ed7 |
الجمعة 6 أيلول/ سبتمبر 2013، 21:40:39 |
| b76628896fb602d02abbcc118a704d30 |
الخميس 29 آب/ أغسطس 2013 15:30:24 |
| c0244295fc0cb98c938bb39bbada2e61 |
الأربعاء 14 آب/ أغسطس 2013، 09:30:45 |
| dd12ec2f1cd96bc8677934abb6a545b0 |
الجمعة 6 أيلول/ سبتمبر 2013، 21:40:39 |
| fd3231ab2f7829659c471b7369808fab |
الثلاثاء 27 آب/ أغسطس 2013، 09:38:43 |
| ffad56a2b4693d98e31ad8c4be86d055 |
الأربعاء 4 أيلول/ سبتمبر 2013، 13:13:45 |
جدول لملفات md5s القابلة للتنفيذ بالنسبة لبرنامج Trojan-Banker.Win32/64.Neverquest مع تواريخ تجميعها
توجد الوظيفة الأساسية لهذا البرنامج في المكتبة الديناميكية المُثَبَّتَة على النظام باستخدام برنامج إضافي، مثل برنامج تنزيل تروجان أو برنامج ناقل (dropper) تروجان؛ حيث تُثَبِّت هذه الأنواع من البرامج ملف المكتبة في مجلد %appdata% تحت اسم عشوائي بامتداد DAT (على سبيل المثال: qevcxcw.dat). وتعمل هذه المكتبة تلقائيًا بسبب “regsvr32.exe /s [path to library]” المُضَاف إلى التسجيل تحت إسم “Software/Microsoft/Windows/CurrentVersion/Run.”، وبعد ذلك يبدأ البرنامج تصديره الوحيد من هذه المكتبة استعدادًا لتهيئة البرنامج الخبيث.
الكود الأوَّلي لـ Neverquest، مُفَكَّك
يفحص البرنامج الكمبيوتر بحثًا عن أي نُسخ متماثلة قد تكون مُثَبَّتَة بالفعل على الكمبيوتر. وفي حالة عدم وجود أي ملفات، حينئذٍ يُطلِق خادم VNC ويرسل طلبه الأول إلى مركز القيادة من أجل الحصول على ملف التكوين.
ملف التكوين الخاص بـ Neverquest
يتم تشفير ملف التكوين بمفتاح موضوع في ملف ضغط المكتبة aPLib، ثم يُنقَل إلى مركز القيادة.
يحتوي ملف التكوين على مجموعة من لغات JavaScripts الخبيثة، وقائمة بالمواقع التي ستُثَبِّت البرامج النصية المماثلة.
يوجد 28 موقعًا في القائمة، بما في ذلك تلك المواقع التي تنتمي إلى المصارف الكبيرة الدولية، ومواقع المصارف الألمانية والإيطلية والتركية والهندية، بالإضافة إلى أنظمة الدفع.
عندما يتصفح المستخدم، من خلال جهازه المصاب، إحدى هذه المواقع المدرجة في القائمة، فإن ذلك يؤدي إلى تَحَكُّم البرنامج الخبيث في اتصال المتصفح بالخادم. وبالتالي يستطيع المستخدمون الخبثاء (المجرمون) الحصول على أسماء المستخدمين وكلمات المرور التي يتم إدخالها من قِبَل المستخدمين، ثم يقوموا بتعديل محتوى صفحة الويب، مما يؤدي إلى إدخال جميع البيانات المُدخَلَة من قِبَل المستخدم على صفحة الويب المُعَدَّلَة، ونقلها إلى المستخدمين الخبثاء (المجرمين).
صفحة ويب مزروعة بالمحتويات الخبيثة، سوف يتم نقل جميع البيانات التي يدخلها المستخدم على هذه الصفحة إلى المستخدمين الخبثاء (المجرمين)
بعد الوصول إلى حساب المستخدم المُزوَّد بنظام الخدمات المصرفية عبر الإنترنت، يستخدم مجرمو الإنترنت خادم SOCKS لإجراء اتصال عن بُعد بجهاز الكمبيوتر المصاب عَبْر خادم VNC، لكي يستطيعوا إجراء المعاملات والتحويلات وإرسال الأموال من حساب المستخدم إلى حساباتهم الخاصة، أو من أجل الحفاظ على الممر من القيادة مباشرةً إليهم – أي إلى حسابات الضحايا الآخرين.
توجد وظيفة أخرى تساعد المستخدمين الخبثاء (المجرمين) على تجديد قائمة المصارف المستهدفة وتطوير التعليمات البرمجية، ليتم زرعها في مواقع إلكترونية جديدة لم تكن مُدرجَة في السابق على قائمة الأهداف، ويتم ذلك على النحو التالي:
- يحتوي ملف التكوين على قائمة بالكلمات الرئيسية، في حالة العثور عليها على صفحة الويب في المتصفح، التي تطالب البرنامج الخبيث باعتراض العملية وإرسال المحتويات الكاملة لصفحة الويب وعنوانها (URL) إلى المستخدمين الخبثاء.
- بُناءً على هذه البيانات المُستَلَمَة، يُطَوِّر المستخدمون الخبثاء التعليمات البرمجية الإضافية ليتم زرعها على هذا الموقع الإلكتروني:
- ومن ثَمَّ يتم إدراج الموقع الجديد في قائمة المواقع المستهدفة، وتتم إضافة التعليمات البرمجية إلى ترسانة من النصوص واللغات الخبيثة في ملف التكوين.
- ثم يتم توزيع ملف التكوين المُحَدَّث على جميع أجهزة الكمبيوتر المصابة.
قائمة الكلمات الرئيسية المُستَخدَمَة في تطوير التعليمات البرمجية المزروعة الإضافية هي:
|
من بين جميع المواقع التي يستهدفها هذا البرنامج بالذات، fidelity.com، المملوك من قِبَل شركة فيديليني للاستثمار، الذي يظهر ليصبح الهدف الأفضل والأعلى استهدافًا. حيث تُعَد هذه الشركة واحدة من أكبر شركات صناديق الاستثمار المتبادلة في العالم، ويُقَدِّم موقعها الإلكتروني على شبكة الإنترنت للعملاء قائمة طويلة من الطرق لإدارة أموالهم على الإنترنت، مما يُعطي الفرصة للمستخدمين الخبثاء لنقل الأموال النقدية إلى حساباتهم الخاصة، وليس ذلك فقط، بل يستطيعون أيضًا اللعب في سوق الأسهم من خلال استخدام حسابات وأموال ضحايا برنامج Neverquest.
مُعَدَّل الانتشار
في عام 2009، اكتشفت كاسبرسكي لاب تهديدًا ذي صلة بالطريقة الجديدة لانتشار برنامج خبيث. وقد تم إطلاق اسم Bredolab على هذا البرنامج الخبيث، وقد انتشر عن طريق بوت نت Pegel. وقد كانت طُرُق توزيع هذا البرنامج ناجحة للغاية، حتى أنه في أوائل عام 2010 تم تصنيفه من ضِمن أعلى ثلاثة من البرامج الخبيثة الأكثر انتشارًا على شبكة الإنترنت. ويستخدم برنامج Neverquest نفس آليات النسخ المتماثل الذاتي الذي يستخدمه Bredolab.
تشتمل ميزات Neverquest على مجموعة من البيانات المُستخدمَة للوصول إلى بروتوكول نقل الملفات (FTP) عبر البرامج التالية:
| Far | Far2 | CuteFTP | Ipswitch | FlashFXP |
| BulletProof FTP | SmartFTP | TurboFTP | FTP Explorer | Frigate3 |
| SecureFX | FTPRush | BitKinex | NetDrive | LeechFTP |
| FTPGetter | ALFTP | GlobalDownloader | Notepad++ | FTPInfo |
| NovaFTP | FTPVoyager | WinFTP | DeluxeFTP | Staff-FTP |
| FreshFTP | BlazeFtp | GoFTP | 3D-FTP | EasyFTP |
| FTPNow | FTP Now | FTPShell | NexusFile | FastStoneBrowser |
| FTP Navigator | FTP Commander | FFFTP | COREFTP | WebSitePublisher |
| ClassicFTP | Fling | FTPClient | WebDrive | LinasFTP |
| PuTTY | LeapFTP | WindowsCommander | TotalCommander | FileZilla |
| ExpanDrive | AceBIT | Robo-FTP | WinZip | Firefox |
| Thunderbird | InternetExplorer |
جدول البرامج المُستَخدَمَة للوصول إلى خوادم بروتوكول نقل الملفات (FTP) المُستَهدَفَة من قِبَل Neverquest
ثم يتم استخدام البيانات المسروقة من هذه البرامج من قِبَل مجرمي الإنترنت، لتوسيع نطاق توزيع البرنامج الخبيث باستخدام حزمة الهجوم المستغل Neutrino الذي يتم وصفه من قِبَل زملائنا هنا.
ويسرق أيضًا هذا البرنامج الخبيث البيانات من العملاء الذين يتعاملون مع البريد الإلكتروني للمستخدم؛ حيث يحصد البيانات أثناء دورات SMTP/POP. ويتم استخدام هذه البيانات من قِبَل مجرمي الإنترنت لإرسال الرسائل البريدية المزعجة الشاملة ذات المرفقات التي تحتوي على برامج تنزيل تروجان، والتي من شأنها بعد ذلك تثبيت برنامج Neverquest. وعادةً ما يتم تصميم هذه الرسائل الإلكترونية فقط لتبدو مثل الإفادات الرسمية الواردة من مجموعة متنوعة من الخدمات، ومن الممكن أن تكون أسماء المرفقات الخبيثة أيٍ من الأسماء التالية:
- travel-00034.jpg. zip
- travel-00034.sg.67330-2-2-8.jpg.zip
- jpg.zip
- light details_united airlines.pdf.zip
مثال على إحدى الرسائل الإلكترونية المزعجة التي تحتوي على برنامج تنزيل تروجان الذي سيُثَبِّت برنامج Neverquest
تم تصميم برنامج Neverquest أيضًا ليحصد البيانات التي تساعد على الوصول إلى الحسابات الموجودة في عددٍ من الخدمات الاجتماعية المشهورة:
|
لم تكن كاسبرسكي لاب قادرة على كَشْف كيفية تكاثر وانتشار هذا البرنامج الخبيث بالذات عبر هذه الخدمات، وذلك على الرغم من عدم وجود شيء يمنعها من القيام بذلك.
يوضح المخطط الانسيابي الذي بالأسفل كيفية انتشار برنامج Neverquest:
الخاتمة
يُدَعِّم فقط برنامج Neverquest كل خدعة ممكنة تم وصفها وشرحها في مقالنا السابق الذي تناول الهجمات على الخدمات المصرفية التي تتم عبر الإنترنت: حَقْن الشبكة، الوصول إلى النظام عن بُعد، الهندسة الاجتماعية، وهكذا.
تم بناء الوحدات النمطية (modules) التالية في برنامج Neverquest:
- وحدة نمطية تسرق البيانات المُدخَلَة من قِبَل المستخدمين على مواقع البنوك على الإنترنت. تتم سرقة البيانات من المتصفحات: IE وفايرفوكس.
- وحدة نمطية تزرع التعليمات البرمجية على المواقع المصرفية في حالة التصفح باستخدام IE أو فايرفوكس. حيث يتم تحميل لغة JavaScript الخبيثة من خلال التعليمات البرمجية لصفحة الويب ليتم استهدافها من قِبَل تروجان.
- خادم VNC: يزود هذا الخادم المستخدمين الخبثاء بالاتصالات البعيدة التي تساعد على إجراء المعاملات الاحتيالية.
- آلية حصد كلمة المرور الخاصة ببروتوكول نقل الملفات (FTP). حيث يتم استخدام البيانات المسروقة من قِبَل مجرمي الإنترنت لزرع الحِزم الاستغلالية على الخوادم التي يملكها مستخدمي الأجهزة المصابة.
- آلية حصد كلمة المرور الخاصة بحساب البريد الإلكتروني. حيث يتم استخدام البيانات المسروقة لإرسال الرسائل المزعجة الشاملة ذات المرفقات الخبيثة.
- وحدة نمطية تحصد بيانات حساب الخدمة الاجتماعية. من الممكن أن تُستَخدَم هذه البيانات في نَشْر الروابط على الموارد التي كانت مصابة في وقتٍ سابق.
- خادم SOCKS: يُستخدَم هذا الخادم لإجراء اتصال مجهول بأجهزة الكمبيوتر الخاصة بالضحايا من خلال VNC أثناء إجراء التعاملات.
- الوحدة النمطية RemoteShell: تُعَد هذه الوحدة قادرة على تنفيذ الأمور البعيدة لـ cmd.exe
تُعَد الأسابيع السابقة لعيد الميلاد وعطلات رأس السنة الجديدة هي الفترة التقليدية التي يرتفع فيها نشاط المستخدمين الخبثاء. في وقتٍ مبكر من شهر تشرين الثاني/ نوفمبر، لاحظت كاسبرسكي لاب الحالات التي نُشِرَت فيها مقالات في منتديات القراصنة، والتي تتناول موضوع شراء وبيع قواعد البيانات التي تساعد على الوصول إلى الحسابات المصرفية، والوثائق الأخرى التي تُستَخدَم لفتح وإدارة الحسابات التي يُرسَل إليها الأموال النقدية المسروقة. نستطيع أن نتوقع أن نرى هجمات شاملة من قِبَل Neverquest في نهاية العام، مما قد يؤدي، في نهاية المطاف، إلى زيادة عدد المستخدمين الذين سيصيرون ضحايا لعمليات سرقة الأموال النقدية عبر الإنترنت.
مقال منشور على منتدى القراصنة يتناول موضوع شراء وبيع قواعد بيانات المعلومات المستخدمة للوصول إلى الحسابات والوثائق المصرفية
ملاحظة أخيرة، لابد من القول أنه بعد انتهاء العديد من القضايا الجنائية المرتبطة بإنشاء ونَشْر البرامج الخبيثة المستخدمة في سرقة بيانات مواقع المصارف، ظهر عدد قليل من “الثغرات” في السوق السوداء؛ حيث يحاول المستخدمون الخبثاء الجدد سَد هذه الثغرات بالتقنيات والأفكار الجديدة. ويُعَد برنامج Neverquest واحدًا من تلك التهديدات التي تهدف إلى احتلال المواقع والمناصب القيادية، التي قد استولت عليها في وقتٍ سابق برامج أخرى مثل ZeuS وCarberp.
تتطَلَّب الحماية ضد هذا النوع من التهديدات المتمثل في Neverquest إجراءً أكبر من أن يكون مجرد برنامجًا عاديًا لمكافحة الفيروسات، بل يحتاج المستخدمون إلى حلٍ متخصص وفعال يضمن ويحمي عملية إجراء المعاملات. وفي هذه الحالة تحديدًا، يجب أن يكون الحل قادرًا على التحكم في عملية تشغيل المتصفح، ومنع أي تلاعب من قِبَل التطبيقات الأخرى.
النصائح