اكتشاف برمجية تجسس بايثون تستهدف بياناتك السحابية

اكتشف خبراء الأمن الرقمي برمجية تجسس بايثون جديدة تسمى DEEP#DOOR، قادرة على سرقة بيانات المتصفح والحسابات السحابية باستخدام تقنيات نفق متطورة.

كشف باحثون في مجال الأمن السيبراني عن تفاصيل إطار عمل خفي يعتمد على لغة البرمجية بايثون، يمتلك قدرات متقدمة لإنشاء وصول دائم وجمع مجموعة واسعة من المعلومات الحساسة من الأجهزة المخترقة. تهدف هذه العمليات بشكل أساسي إلى التجسس طويل الأمد وسرقة الهويات الرقمية.

كيف تعمل برمجية DEEP#DOOR على اختراق الأجهزة؟

وفقاً لما رصده تيكبامين، تبدأ سلسلة الاختراق بتنفيذ ملف دفعي (Batch Script) يحمل الاسم "install_obf.bat". يقوم هذا الملف بعدة خطوات تقنية معقدة تشمل:

• تعطيل عناصر التحكم في أمان نظام ويندوز.
• استخراج حمولة بايثون مدمجة ديناميكيًا تحمل اسم "svc.py".
• تثبيت آليات استمرار متعددة عبر مجلد البدء (Startup) ومفاتيح السجل (Registry).
• استخدام المهام المجدولة لضمان بقاء البرمجية نشطة.

ويشير التقرير التقني إلى أن هذا الملف يتم توزيعه عادةً عبر أساليب التصيد الاحتيالي التقليدية، حيث يتم إغراء المستخدمين بفتح ملفات مفخخة تؤدي إلى تشغيل البرمجية الخبيثة فوراً.

ما الذي يميز هجمات برمجية تجسس بايثون هذه؟

تعتبر هذه الهجمة فريدة من نوعها لأن الغرسة الأساسية مدمجة مباشرة داخل النص البرمجي للمنزل (Dropper)، مما يقلل من الحاجة للاتصال المتكرر بالبنية التحتية الخارجية ويقلل من الأثر الرقمي الذي يمكن اكتشافه بواسطة أدوات التحقيق الجنائي.

بمجرد إطلاقها، تنشئ البرمجية اتصالاً مع خدمة نفق تعتمد على لغة رست (Rust)، مما يسمح للمهاجم بإصدار أوامر لتسهيل تنفيذ الأوامر عن بعد وإجراء عمليات مراقبة واسعة النطاق تشمل:

• سرقة ملفات تعريف الارتباط للمتصفح (Cookies).
• جمع بيانات الاعتماد المخزنة في الخدمات السحابية.
• مراقبة نشاط المستخدم وجمع معلومات النظام.

مزايا استخدام خدمات النفق العامة

يوفر استخدام خدمة النفق العامة ميزات عديدة للمهاجمين، حيث:

• يلغي الحاجة إلى إعداد بنية تحتية مخصصة ومكشوفة.
• يدمج حركة المرور الخبيثة مع حركة المرور العادية للشبكة.
• يتجنب تضمين تفاصيل الخادم المباشرة داخل الحمولة الخبيثة.

كيف تتجنب البرمجية الخبيثة اكتشافها من أنظمة الأمان؟

تتضمن DEEP#DOOR ترسانة من آليات مكافحة التحليل والتهرب الدفاعي لتبقى تحت الرادار، ومن أبرزها:

• كشف البيئات الافتراضية: تحديد ما إذا كانت تعمل داخل جهاز افتراضي أو بيئة تجريبية (Sandbox).
• تعطيل الحماية: التلاعب ببرنامج مايكروسوفت ديفندر وتجاوز ميزة SmartScreen.
• مسح الأثر: تنظيف سجلات الأوامر وحذف سجلات الأحداث لتعقيد جهود الاستجابة للحوادث.
• آلية الرقابة: الاعتماد على آلية "كلب الحراسة" لإعادة إنشاء ملفات البرمجية إذا تم حذفها.

في الختام، تعمل هذه البرمجية كطروادة وصول عن بعد (RAT) كاملة الميزات، قادرة على التجسس طويل الأمد والتحرك العرضي داخل الشبكات المخترقة. وحسب تيكبامين، فإن الحذر من رسائل البريد المشبوهة وتحديث أنظمة الحماية يظل الدفاع الأول ضد خطر برمجية تجسس بايثون المتطورة هذه.