الدروس المستفادة من حادث اختراق KeePass بفيروس حصان طروادة

تم تعديل برنامج شائع لإدارة كلمات المرور للسماح للمهاجمين بسرقة كلمات المرور وتشفير بيانات المستخدمين. كيف نحمي أجهزة الكمبيوتر المنزلية وأنظمة الشركات من هذا التهديد؟

أراد مستخدم حماية كلمات مروره، لكنه تسبب في السماح للمهاجمين باختراق مؤسسته عن غير قصد. وتم توثيق هذه النتيجة غير المتوقعة في تحقيق حديث عن هجوم لبرامج طلب الفدية – وهي حادثة بدأت عندما قرر موظف تنزيل برنامج إدارة كلمات المرور المعروف KeePass. لكن التفصيل الأساسي هو أنه زار موقعًا ويب مزيفًا. وبما أن KeePass مشروع مفتوح المصدر، لم يجد المهاجمون صعوبة في نسخه وتعديله وإضافة وظائف ضارة إليه. ثم أعادوا بناء التطبيق ووزعوه عبر مواقع ويب مزيفة، وروجوا له من خلال أنظمة إعلانية قانونية على الإنترنت.

ما الذي كان يفعله برنامج KeePass المزيف؟

استمرت الحملة الخبيثة ثمانية أشهر على الأقل، بدءًا من منتصف عام 2024. وأنشأ المهاجمون مواقع ويب مزيفة تحاكي موقع KeePass الرسمي واستخدموا الإعلانات الضارة لإعادة توجيه المستخدمين الذين كانوا يبحثون عن KeePass إلى نطاقات ذات أسماء تبدو مقنعة مثل keeppaswrd وkeebass وKeePass-download.

إذا قام الضحية بتنزيل KeePass من موقع مزيف، فسيعمل برنامج إدارة كلمات المرور على النحو المتوقع، لكنه سيحفظ أيضًا جميع كلمات المرور من قاعدة البيانات المفتوحة حاليًا في ملف نصي غير مشفر وتثبيت أداة Cobalt Strike على النظام. وهذه أداة يمكن استخدامها لتقييم أمان المؤسسة ولتنفيذ هجمات إلكترونية حقيقية.

باستخدام Cobalt Strike، لم يتمكن المهاجمون من سرقة كلمات المرور التي تم تصديرها فحسب، بل تمكنوا أيضًا من استخدامها لاختراق أنظمة إضافية وتشفير خوادم ESXi الخاصة بالمؤسسة في نهاية المطاف.

اكتشف الباحثون، أثناء تتبع آثار هذا الهجوم على الإنترنت، خمسة إصدارات مختلفة من KeePass تم التلاعب بها بفيروسات حصان طروادة. وكانت بعض هذه الإصدارات أبسط، حيث كانت تقوم بتحميل كلمات المرور المسروقة على الفور إلى خادم المهاجمين.

البرامج الضارة عالية التخفي

ليس هناك أمر جديد في دس البرامج الضارة للضحية مع البرامج الشرعية. ومع ذلك، يضيف المهاجمون عادةً ملفات ضارة إلى حزمة التثبيت، لذا تكتشفها حلول الأمان (إن وجدت) على الكمبيوتر بسهولة. لكن هجوم KeePass المزيف كان مُخططًا له بعناية أكبر وتم إخفاؤه بشكل أفضل عن أدوات الأمان.

تم توقيع جميع حزم تثبيت KeePass المزيفة بتوقيع رقمي صالح، مما جعلها لا تثير أي تحذيرات مقلقة في نظام Windows. واحتوت التوزيعات الخمس المكتشفة حديثًا على شهادات صادرة عن أربع شركات برامج مختلفة. وتم توقيع برنامج KeePass الشرعي بشهادة مختلفة، لكن قلة من الناس يكلفون أنفسهم عناء التحقق مما يذكره سطر الناشر في تحذيرات Windows.

كانت وظائف فيروس حصان طروادة مخفية داخل المنطق الأساسي للتطبيق، ولم تعمل إلا عندما فتح المستخدم قاعدة بيانات كلمات المرور. بعبارة أخرى، يبدأ التطبيق أولاً بشكل عادي، ثم يطلب من المستخدم تحديد قاعدة بيانات وإدخال كلمة المرور الرئيسية الخاصة بها، وبعد ذلك فقط يبدأ في تنفيذ إجراءات قد تعتبرها آليات الأمان مشبوهة. ويجعل هذا كشف الهجوم أكثر صعوبة بالنسبة لبيئات الاختبار المعزولة وأدوات التحليل الأخرى التي ترصد السلوك غير الطبيعي للتطبيقات.

ليس فقط KeePass

أثناء التحقيق في مواقع الويب الضارة التي توزع إصدارات KeePass المصابة بفيروسات حصان طروادة، اكتشف الباحثون مواقع ذات صلة مستضافة على النطاق ذاته. وكانت هذه المواقع تُعلن عن برامج شرعية أخرى، بما في ذلك مدير الملفات الآمن WinSCP والعديد من أدوات العملات المشفرة. وقد جرى تعديل هذه البرامج بدرجة أقل، واقتصرت على تثبيت برامج ضارة معروفة تسمى Nitrogen Loader على أنظمة الضحايا.

يشير هذا إلى أن نسخة KeePass المصابة بفيروس حصان طروادة قد صنعت بواسطة وسطاء الوصول الأولي. ويسرق هؤلاء المجرمون كلمات المرور وغيرها من المعلومات السرية بهدف اكتشاف نقاط الدخول إلى شبكات الكمبيوتر الخاصة بالشركات، ثم يبيعون هذا الوصول إلى جهات ضارة أخرى – عادة ما تكون عصابات برامج طلب الفدية.

تهديد للجميع

يستهدف موزعو البرامج الضارة لسرقة كلمات المرور أي مستخدم غير مرتاب بشكل عشوائي. ويحلل المجرمون أي كلمات مرور أو بيانات مالية أو أي معلومات قيّمة أخرى يتمكنون من سرقتها ويصنفونها إلى فئات ويبيعون ما هو مطلوب إلى مجرمي الإنترنت الآخرين لاستخدامها في عملياتهم السرية. وسيشتري مشغلو برامج طلب الفدية بيانات اعتماد لشبكات الشركات، بينما سيشتري المحتالون البيانات الشخصية وأرقام البطاقات البنكية، وسيحصل مرسلو الرسائل غير المرغوب فيها على تفاصيل تسجيل الدخول لوسائل التواصل الاجتماعي أو حسابات الألعاب.

لهذا السبب، يعتمد نموذج عمل موزعي برامج السرقة على الاستيلاء على أي شيء يمكنهم الوصول إليه واستخدام جميع أنواع الإغراءات لنشر برامجهم الضارة. ويمكن إخفاء فيروسات حصان طروادة داخل أي نوع من البرامج – من الألعاب وبرنامج إدارة كلمات المرور إلى التطبيقات المتخصصة للمحاسبين أو المهندسين المعماريين.

كيفية حماية الكمبيوتر المنزلي الخاص بك

يجب تنزيل التطبيقات من الموقع الرسمي للبائع أو من متاجر التطبيقات الرئيسية فقط.

انتبه إلى التوقيعات الرقمية. وعند تشغيل برنامج لم تقم بتنزيله من قبل، يعرض نظام Windows تحذيرًا باسم مالك التوقيع الرقمي في حقل الناشر. تأكد أن هذا الاسم يطابق معلومات المطور الحقيقي. وعند الشك، تحقق من المعلومات الموجودة على موقع الويب الرسمي.

كن حذرًا من الإعلانات في نتائج البحث. وعندما تبحث عن اسم تطبيق، راجع أول أربع أو خمس نتائج بعناية، لكن تجاهل الإعلانات. وعادةً ما يكون موقع الويب الرسمي للمطور ضمن هذه النتائج. وإذا لم تكن متأكدًا من النتيجة التي تؤدي إلى موقع الويب الرسمي، فمن الأفضل إعادة التحقق من العنوان مرة أخرى عبر متاجر التطبيقات الكبرى أو حتى على Wikipedia.

تأكد من استخدام برنامج أمان شامل، مثل Kaspersky Premium، على جميع أجهزة الكمبيوتر والهواتف الذكية الخاصة بك. وسيحميك هذا من الإصابة بمعظم أنواع البرامج الضارة ويمنعك من زيارة مواقع الويب الخطيرة.

لا تتجنب برامج إدارة كلمات المرور. وعلى الرغم من استخدام برنامج شائع لإدارة كلمات المرور في هجوم متطور، فإن فكرة التخزين الآمن للبيانات المهمة بشكل مشفر أصبحت أكثر أهمية من أي وقت مضى. وتشمل الاشتراكات في Kaspersky Plus وKaspersky Premium برنامج Kaspersky Password Manager، مما يتيح لك تخزين بيانات الاعتماد الخاصة بك بشكل آمن.

كيفية حماية مؤسستك من برامج سرقة المعلومات ووسطاء الوصول الأولي

يعد استخدام بيانات الاعتماد الشرعية في الهجمات أحد الأساليب الأكثر شيوعًا بين مجرمي الإنترنت. ولجعل سرقة واستخدام حسابات الشركات أكثر صعوبة، اتبع النصائح الموجهة للمؤسسات بشأن مكافحة برامج سرقة المعلومات.

لصد البرامج المصابة بفيروسات حصان طروادة التي يمكن أن تمنح المهاجمين وصولاً مباشرًا إلى شبكتك، نوصي بالإضافة إلى ذلك بالإجراءات التالية:

  • تقييد تنزيل وتنفيذ البرامج غير الموثوق بها باستخدام قوائم التطبيقات المسموح بها. وتتضمن المعايير المناسبة لقوائم السماح “التطبيقات من بائع معين” والتطبيقات الموقعة بشهادة معينة. وكان الخيار الأخير سيساعد في حالة KeePass ويمنع التطبيق المعروف الموقّع بشهادة غير مصرح بها.
  • تنفيذ نهج مركزي للمراقبة والاستجابة، يشمل تثبيت أجهزة استشعار لاكتشاف النقاط الطرفية والاستجابة لها (EDR) على كل محطة عمل وخادم، وتحليل القياس عن بُعد الناتج باستخدام حلول SIEM أو XDR. ويعد Kaspersky Next XDR Expert  مناسبًا تمامًا لتقديم حل شامل لهذا التحدي.
  • توسيع نطاق تدريب الموظفين. بالإضافة إلى توخي الحذر بشأن هجمات التصيد الاحتيالي، من المهم تدريب فريقك على التعرف على البرامج المزيفة والإعلانات الضارة وتقنيات الهندسة الاجتماعية الأخرى. ويمكن لمنصة Kaspersky Automated Security Awareness Platform تقديم المساعدة في ذلك.
النصائح

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً!  برمجيات التنقيب المخفية! 

اشترك حتى يصلك جديدنا على بريدك الإلكتروني
  • جميع الدول الاخرى