تمتلك الجهات الخبيثة العديد من الأدوات في ترسانتها لسرقة المعلومات من أهداف غير متوقعة. وفي السنوات الأخيرة، أصبح برنامج السرقة Vidar شائعًا بشكل متزايد. وتعتبر هذه البرامج الضارة فعالة للغاية في إصابة الأجهزة خلسة لسرقة مجموعة واسعة من المعلومات ونقلها مرة أخرى إلى المهاجم.
لكن ما هو برنامج السرقة Vidar، وكيف تعمل هذه الهجمات؟
ما هو برنامج السرقة Vidar؟
تعد برامج السرقة من نوع Vidar - التي تسمى أحيانًا برامج التجسس Vidar - أنواعًا محددة من البرامج الضارة التي تهدف إلى مهاجمة الأجهزة وسرقة المعلومات الشخصية وتفاصيل محافظ العملات المشفرة داخل نظام الجهاز. ومع ذلك، يُستخدم برنامج Vidar أيضًا في بعض الأحيان كوسيلة لتوصيل برامج طلب الفدية إلى الأجهزة.
على الرغم من وجود شبكات الروبوت من نوع Vidar منذ عام 2018، إلا أن أصولها الدقيقة غير واضحة. لكن في مقابلة أُجريت في نوفمبر 2023، أكد القائمون على هذا البرنامج الضار أنه تطوير لفيروس حصان طروادة الذي يسمى Arkei. ويعمل كبرنامج ضار كخدمة ويمكن شراؤه مباشرة من موقع المطور على الويب المظلم.
يشتهر البرنامج الضار Vidar بشكل خاص بالطريقة التي يستخدم بها البنية التحتية للقيادة والتحكم (أو ما يسمى اتصالات C2). ويحدث هذا في الغالب من خلال شبكات التواصل الاجتماعي مثل Telegram وMastodon، ومؤخرًا على منصة الألعاب الاجتماعية Steam.
كيف يعمل برنامج السرقة Vidar؟
يستخدم برنامج السرقة Vidar عادةً وسائل التواصل الاجتماعي لبنيته التحتية للقيادة والتحكم وكجزء من عمليته. وفي كثير من الأحيان، سيتم تضمين عنوان ملف تعريف معين على شبكة تواصل اجتماعي داخل البرنامج الضار Vidar، وسيتضمن عنوان IP للقيادة والتحكم ذي الصلة في مواصفاته. ويتيح ذلك لبرامج التجسس التحكم في ملف التعريف، الذي يتضمن الاتصال بعنوان IP وتنزيل الملفات والتعليمات وحتى تثبيت المزيد من البرامج الضارة.
مع ذلك، نظرًا لأن شبكة روبوت Vidar في جوهرها أداة لسرقة معلومات، فإن وظيفتها الأساسية هي جمع المعلومات الحساسة من جهاز مصاب وإرسال هذه البيانات إلى المهاجم. وهناك العديد من أنواع المعلومات المختلفة التي يمكن لبرنامج Vidar سرقتها، بما في ذلك:
- بيانات نظام التشغيل
- بيانات اعتماد تسجيل الدخول
- معلومات بطاقة الائتمان أو معلومات البنك
- سجل المستعرض
- ملفات تعريف الارتباط للمستعرض
- البرامج المثبتة على الجهاز
- الملفات التي تم تنزيلها
- محافظ العملات المشفرة – على وجه التحديد، Exodus وEthereum وMultiDoge وAtomic وJAXX وElectronCash
- لقطات الشاشة
- رسائل البريد الإلكتروني
- بيانات اعتماد FTP
في بعض الحالات، عندما يتم استخدام برنامج Vidar خصيصًا لتثبيت برامج ضارة على أحد الأجهزة، فإنه يستخدم بنيته التحتية للقيادة والتحكم لتحديد رابط لتنزيل الملف المصاب منه، ثم تنفيذه. وهذا يمنح المهاجم إمكانية الوصول إلى الجهاز، ويمكنه استخدامه لأغراضه الخاصة، أو بيعه على الويب المظلم لمجرمي الإنترنت الآخرين.
بمجرد تنزيله على الجهاز، فإنه يستخدم عدة طرق حتى يظل دون اكتشاف. وفي كثير من الأحيان، يستخدم لصوص برنامج Vidar ملفًا كبيرًا قابلاً للتنفيذ لتجنب اكتشافه بواسطة برامج مكافحة الفيروسات. ومن خلال التحليلات الدقيقة، اكتشف الخبراء أن عينات Vidar تحتوي على وحدات بايت فارغة في نهاية الملف (أو أصفار في نهاية ملف .exe)، مما يؤدي إلى تضخيم حجم الملف بشكل مصطنع. ونظرًا لأن حجم الملف كبير جدًا، فإنه غالبًا ما يتجاوز حدود الملفات الخاصة ببرامج مكافحة البرامج الضارة، التي تختار بعد ذلك تخطي تحليل الملف. بالإضافة إلى ذلك، غالبًا ما تستخدم ملفات Vidar ترميز السلاسل والتشفير لجعل تحليلها أكثر صعوبة بالنسبة لبرامج الحماية. ويستخدم أيضًا الملفات التي تم مصادقتها بشهادات رقمية منتهية الصلاحية.
بعد إصابة الجهاز المعني وسرقة أكبر قدر ممكن من المعلومات، يعبئ فيروس حصان طروادة من نوع Vidar جميع البيانات في ملف ZIP ويرسلها إلى خادم القيادة. وبعد ذلك، تدمر البرامج الضارة نفسها ذاتيًا وتحذف جميع الأدلة التي تثبت وجودها داخل نظام الجهاز. ولهذا السبب، قد يكون التحقيق في هجمات البرامج الضارة من نوع Vidar أمرًا صعبًا للغاية.
كيف ينتشر برنامج Vidar؟
ينتشر البرنامج الضار Vidar دائمًا عبر رسائل البريد الإلكتروني العشوائية. ويتلقى الهدف عمومًا رسالة بريد إلكتروني غير مرغوب فيها - لكنها تبدو غير ضارة - تشبه فاتورة عملية شراء عبر الإنترنت أو تأكيدًا لتجديد اشتراك. وتحتوي رسالة البريد الإلكتروني عادةً على مرفق، والذي يتم توجيه الهدف لفتحه للحصول على المزيد من المعلومات. لكن البرنامج الضار Vidar يوجد بداخل المرفق، وعندما يفتحه الهدف، يتم نشر البرنامج الضار.
في أغلب الأحيان، يكون المرفق عبارة عن مستند Microsoft Office يستخدم برنامجًا نصيًا لوحدات الماكرو. وعلى هذا النحو، بمجرد فتح المستند، يُطلب من المستخدم تمكين تنفيذ وحدات الماكرو. وبمجرد أن يفعل ذلك، يتصل الجهاز بخادم البرامج الضارة ويتيح تنزيل برنامج السرقة Vidar. وللتخفيف من الهجمات التي تشنها البرامج الضارة Vidar، غيّرت Microsoft طريقة تشغيل وحدات الماكرو الخاصة بها.
على الرغم من ذلك، فإن هذا يعني أن مجرمي الإنترنت وجدوا ببساطة طرقًا مختلفة لنشر فيروس حصان طروادة من نوع Vidar. وهي تشمل:
- ملفات ISO في المرفقات: يمكن أيضًا تسليم البرامج الضارة Vidar كملف ISO مرفق عبر البريد الإلكتروني، مثل ملف تعليمات Microsoft Compiled HTML (CHM) وملف "app.exe" قابل للتنفيذ، الذي يقوم بتشغيل البرامج الضارة عند فتح المرفق
- أرشيفات .zip: في حالة واحدة معينة، انتحل المهاجمون صفة العلامة التجارية للملابس H&M لإرسال رسائل بريد إلكتروني للتصيد الاحتيالي توجه المستلمين إلى مجلد Google Drive، حيث سيحتاجون منه إلى تنزيل أرشيف بتنسيق .zip للوصول إلى العقد ومعلومات الدفع. وسيطلب الملف بعد ذلك هجوم برنامج السرقة Vidar من هناك.
- برامج التثبيت الاحتيالية: يستطيع المهاجمون تضمين برنامج التجسس Vidar في برنامج تثبيت احتيالي للبرامج الشرعية يمكن للمستخدمين تنزيلها - مثل Adobe Photoshop أو Zoom - وتسليمها إلى الأهداف كمرفق في رسالة بريد إلكتروني غير مرغوب فيها
- إعلانات بحث Google : في الآونة الأخيرة، كانت إحدى الطرق الأكثر شيوعًا لنشر برنامج Vidar من خلال الإعلانات على بحث Google التي تحتوي على البرامج الضارة داخل نصوصها البرمجية. وينشئ المهاجم إعلانات Google تحاكي إلى حد كبير إعلانات ناشر البرامج الشرعي، وعندما يقوم المستخدمون المطمئنون بتنزيل هذا البرنامج وتشغيله، يتم تنفيذ البرامج الضارة وتصيب أجهزتهم.
- ارتباطات برامج طلب الفدية: في بعض الحالات، نفذت شبكة روبوتات Vidar هجمات بالتزامن مع العديد من برامج طلب الفدية، مثل STOP/Djvu وGandCrab، أو برامج ضارة مثل PrivateLoader وSmoke. وفي هذه الهجمات الخبيثة للغاية، تم نشر البرنامجين الضارين معًا، مما أدى إلى المزيد من الإصابات واسعة النطاق وسرقة البيانات، ومشاكل للمستخدم الذي أصيب جهازه.
كيف تحمي نفسك من برنامج السرقة Vidar: خمس نصائح أساسية
لا يستطيع برنامج السرقة Vidar سرقة بيانات المستخدم ومعلومات النظام فحسب، بل يمكن استخدامه أيضًا لتقديم المزيد من أنواع البرامج الضارة. ولهذا السبب، يحتاج الأفراد والمؤسسات إلى اتخاذ خطوات لتجنب فرص الهجمات التي يقوم بها فيروس حصان طروادة من نوع Vidar. وإليك خمسة تدابير وقائية يمكن أن تكون مفيدة:
- استخدم برامج مكافحة الفيروسات وحماية الويب التي تراقب هذه الأنواع من التهديدات الإلكترونية وتقوم بتحييدها.
- استخدم حلول أمان البريد الإلكتروني لفحص جميع رسائل البريد الإلكتروني الواردة وحظر الرسائل التي يحتمل أن تكون مشبوهة.
- تذكر أفضل الممارسات المتعلقة بكلمات المرور، بما في ذلك استخدام مدير كلمات المرور، وإنشاء كلمات مرور معقدة، وتغييرها بانتظام.
- حافظ على تحديث جميع البرامج وأنظمة التشغيل لضمان نشر أحدث تصحيحات الأمان.
- قم بإجراء عمليات فحص كاملة للنظام بانتظام على أجهزة الكمبيوتر للتحقق من وجود أي برامج تجسس من نوع Vidar لم يتم اكتشافها أو غيرها من الإصابات وإزالتها.
ينبغي أن تشكل هذه النصائح جزءًا من إستراتيجية أوسع لمكافحة الاختراقات الأمنية المحتملة والأنشطة الضارة، بما في ذلك استخدام شبكة خاصة افتراضية (VPN) لإخفاء عنوان IP الخاص بالجهاز وتشفير جميع الأنشطة عبر الإنترنت.
برنامج السرقة Vidar: تهديد مستمر
يعتبر البرنامج الضار Vidar بمثابة برامج تجسس ذات تقنية عالية. وعلى الرغم من أن هذه الهجمات تبدأ غالبًا برسائل بريد إلكتروني غير مرغوب فيها أو إعلانات أو برامج مخترقة أو وسائل أخرى، إلا أنها غالبًا ما تكون أكثر خطورة بسبب الكم الهائل من المعلومات التي يمكن لبرنامج Vidar سرقتها. ويمنح ذلك المهاجم قدرًا هائلاً من المعلومات لتنفيذ المزيد من الجرائم أو لبيعها على الويب المظلم. ومع ذلك، من خلال وضع أفضل الممارسات الأساسية لسلامة الإنترنت والبريد الإلكتروني في الاعتبار، فمن الممكن تقليل تهديد برنامج Vidar ونجاح هذه الهجمات.
احصل على اشتراك في Kaspersky Premium + سنة واحدة مجانًا من Kaspersky Safe Kids. حصل Kaspersky Premium على خمس جوائز AV-TEST لأفضل حماية وأفضل أداء وأسرع اتصال VPN ومراقبة أسرية معتمدة لنظام التشغيل Windows وأفضل تصنيف للرقابة الأسرية لنظام التشغيل Android.
المقالات والروابط ذات الصلة:
- كيف تتخلص من البرامج الضارة؟
- الحماية من برامج طلب الفدية: كيفية المحافظة على أمان بياناتك في 2024
- إزالة برامج طلب الفدية | فك تشفير البيانات – كيفية قتل الفيروس
- اكتشاف البرامج الضارة وفيروسات الاستغلال
المنتجات والخدمات ذات الصلة:
