البرمجيات الخبيثة SocGholish تستغل مشروع BOINC لشن هجمات إلكترونية سرية

22 يوليو 2024غرفة الأخبارالضعف / البرامج الضارة

يتم استخدام البرنامج الضار لتنزيل JavaScript والمعروف باسم SocGholish (المعروف أيضًا باسم FakeUpdates) لتوصيل حصان طروادة للوصول عن بعد يسمى AsyncRAT بالإضافة إلى مشروع شرعي مفتوح المصدر يسمى BOINC.

بوينك، وهو اختصار لـ Berkeley Open Infrastructure Network Computing Client، هو “حوسبة تطوعية” مفتوحة المصدر. منصة تحتفظ به جامعة كاليفورنيا بهدف تنفيذ “حوسبة موزعة عالية الإنتاجية على نطاق واسع” باستخدام أجهزة الكمبيوتر المنزلية المشاركة التي تم تثبيت التطبيق عليها.

“إنه يشبه عامل تعدين العملة المشفرة بهذه الطريقة (استخدام موارد الكمبيوتر للقيام بالعمل)، وهو مصمم في الواقع لمكافأة المستخدمين بنوع معين من العملة المشفرة يسمى Gridcoin، المصمم لهذا الغرض،” هذا ما قاله باحثو Huntress مات أندرسون وألدن شميدت و جريج ليناريس قال في تقرير نشر الأسبوع الماضي.

تم تصميم هذه التثبيتات الضارة للاتصال بنطاق يتحكم فيه الممثل (“rosettahome[.]cn” أو “rosettahome[.]top”)، ويعمل بشكل أساسي كخادم قيادة وتحكم (C2) لجمع بيانات المضيف، ونقل الحمولات، ودفع المزيد من الأوامر. اعتبارًا من 15 يوليو، تم توصيل 10032 عميلًا بالنطاقين.

وقالت شركة الأمن السيبراني إنها على الرغم من أنها لم تلاحظ أي نشاط أو مهام متابعة يتم تنفيذها من قبل المضيفين المصابين، إلا أنها افترضت أن “اتصالات المضيف يمكن بيعها كموجهات وصول أولية لاستخدامها من قبل جهات فاعلة أخرى وربما استخدامها للتنفيذ”. برامج الفدية.”

تبدأ تسلسلات هجوم SocGholish عادةً عندما يصل المستخدمون إلى مواقع الويب المخترقة، حيث يُطلب منهم تنزيل تحديث مزيف للمتصفح، والذي يؤدي عند تنفيذه إلى استرداد الحمولات الإضافية إلى الأجهزة المخترقة.

يقوم برنامج تنزيل JavaScript، في هذه الحالة، بتنشيط سلسلتين منفصلتين، إحداهما تؤدي إلى نشر متغير بدون ملفات من AsyncRAT والأخرى تؤدي إلى تثبيت BOINC.

يقوم تطبيق BOINC، الذي تمت إعادة تسميته باسم “SecurityHealthService.exe” أو “trustedinstaller.exe” لتجنب الكشف، بتعيين الثبات باستخدام مهمة مجدولة عن طريق برنامج PowerShell النصي.

إن إساءة استخدام BOINC لأغراض ضارة لم تمر دون أن يلاحظها أحد من قبل القائمين على المشروع، الذين هم التحقيق حاليا المشكلة وإيجاد طريقة “لهزيمة هذه البرامج الضارة”. يعود تاريخ الأدلة على الانتهاكات إلى 26 يونيو 2024 على الأقل.

وقال الباحثون: “إن دوافع ونوايا الجهة التهديدية من خلال تحميل هذا البرنامج على المضيفين المصابين ليست واضحة في هذه المرحلة”.

“يمثل العملاء المصابون الذين يتصلون بشكل نشط بخوادم BOINC الضارة مخاطرة عالية إلى حد ما، حيث أن هناك احتمال قيام جهة تهديد متحمسة بإساءة استخدام هذا الاتصال وتنفيذ أي عدد من الأوامر أو البرامج الضارة على المضيف لزيادة تصعيد الامتيازات أو التحرك أفقيًا عبر الشبكة و تسوية المجال بأكمله.”

يأتي هذا التطوير في الوقت الذي قالت فيه Check Point إنها تتتبع استخدام V8 JavaScript المجمع من قبل مؤلفي البرامج الضارة لتجنب الاكتشافات الثابتة وإخفاء أحصنة طروادة، والسرقة، وأدوات التحميل، وعمال مناجم العملات المشفرة، والمساحات، وبرامج الفدية.

وقال الباحث الأمني ​​موشيه ماريلوس: “في المعركة المستمرة بين خبراء الأمن والجهات الفاعلة في مجال التهديد، يواصل مطورو البرامج الضارة ابتكار حيل جديدة لإخفاء هجماتهم”. “ليس من المستغرب أنهم بدأوا في استخدام V8، حيث تُستخدم هذه التقنية بشكل شائع لإنشاء برامج لأنها منتشرة على نطاق واسع ويصعب تحليلها للغاية.”