احذر.. الصور المتحركة قد تكون برمجية خبيثة!
اكتشف باحثون من شركة “إي ست” السلوفاكية لأمن المعلومات برمجية خبيثة تحمل اسم “ستيغانو” تستهدف مستخدمي متصفح إنترنت إكسبلوررعلى الحواسيب الشخصية.
ورغم أن مستخدمي هذا المتصفح ينكمشون يوما بعد يوم بعد ظهور ويندوز 10 الذي يعتمد متصفح “إيدج” الجديد فإن هذه البرمجية تظهر مدى براعة المخترقين في تمرير إعلانات ضارة تتجاوز الشبكات الكبرى، ومن ثم إخفاء البرمجية الخبيثة من الاكتشاف.
ويقول الباحثون إن هذه البرمجية كانت تعمل بسرية خلال العامين الماضيين دون أن يكتشفها أحد، وتستهدف بشكل خاص خدمات الدفع والعمليات المصرفية للشركات.
ويبدأ الهجوم بإعلانات ملوثة ببرمجية جافا لتطبيقي “بروكسو” لأخذ لقطات للشاشة، و”براوزر دفنس” لحماية متصفح الإنترنت، مع دفع هذه الإعلانات للظهور على شبكات إعلانات ضخمة، حيث تظهر على مواقع إخبارية رئيسية يشاهدها ملايين المستخدمين.
لكن كيف تمكنت هذه البرمجية من تخطي تقنية مكافحة البرامج الخبيثة التي تستخدمها شبكات الإعلانات الكبرى؟
عند تقديم الإعلان فإنه يدير شفرة جافا تمويهية تشغل اختبارا لفحص البيئة التي سيظهر فيها، فإذا كُنت تدير “آلة افتراضية” أو بيئات أخرى كالتي يستخدمها عادة باحثو الأمن، فإن الإعلان يظهر بشكل صورة ثابتة نظيفة، لكن إن تبين أن الجهاز قابل للاختراق فإن الإعلان يظهر كصورة gif متحركة تخبئ البيانات ضمن قناة “ألفا” أو “الشفافية” في الصورة.
بعد الفحص الأول يعمل فحص ثان على استخلاص وتشغيل الشفرة الخبيثة مستفيدا من ثغرة معروفة في متصفح “إنترنت إكسبلورر”، ثم تفحص البرمجية الحاسوب مرة أخرى بحثا عن آلات افتراضية أو أي منتجات أمنية أخرى هدفها رصد البرمجيات الخبيثة، كما أنها تفحص مشغلات الرسوميات والأمن للتأكد أنها تعمل على حاسوب فعلي.
