• [قرار إداري] سيتم حذف جميع الأعضاء المسجلين الجدد الذين اختاروا تسمية عشوائية وليس لديهم صورة رمزية بعد 7 أيام.
  • [قرار إداري] يُمنع منعًا باتًا الرد بلغة غير العربية، أو بردود عشوائية، أو بالاكتفاء باقتباس الموضوع فقط. مخالفة ذلك قد تؤدي إلى حظر العضوية.
  • 👋 أهلاً وسهلاً بك أخي الزائر، يشرفنا انضمامك إلى مجتمعنا! التسجيل من هنا

النوميدي

مؤسس تكاوزن
عضوية موثوقة
إنضم
28 أكتوبر 2022
المشاركات
6,973
مستوى التفاعل
46,005
النقاط
6,070
الإقامة
أرض الله
الموقع الالكتروني
🔗
المشاهدات: 556 | الردود: 4
ss4q.png

رصدت شركة متخصصة في أمن المعلومات أن قراصنة يُسيئون استخدام أداة الإبلاغ عن الأخطاء الخاصة بنظام ويندوز
(Windows Problem Reporting – WerFault.exe) لتحميل البرامج الضارة في ذاكرة النظام المُخترق،
وذلك باستخدام تقنية التحميل الجانبي لملفات (.DLL).

وذكرت شركة (K7 Security Labs) أن الهدف من استخدام ملف ويندوز القابل للتنفيذ WerFault.exe
هو إصابة الأجهزة خُفيةً دون إطلاق أي إنذارات على النظام الذي اختُرق، وذلك بتشغيل البرنامج الضار من خلال برنامج ويندوز شرعي قابل للتنفيذ.

ولم تتمكن الشركة التي رصدت الحملة الجديدة من تحديد القراصنة، لكن يُعتقد أن مقرهم في الصين.

وأوضحت (K7 Security Labs) أن حملة البرامج الضارة تبدأ بوصول رسالة بريد إلكتروني تحوي مرفق (ISO.).
وبالنقر نقرًا مزدوجًا عليه، سيُثبّت ISO نفسه كحرف محرك أقراص جديد يحوي نسخةً شرعية من ملف
(Windows WerFault.exe)القابل للتنفيذ، والملف faultrep.dll، والملف File.xls، واختصارًا للملف (inventory & our specialties.lnk).

ويُصاب نظام الضحية فور النقر على ملف الاختصار، الذي يستخدم (scriptrunner.exe)
لتنفيذ ملف WerFault.exe. مع الإشارة إلى أن (WerFault) هي أداة الإبلاغ عن أخطاء ويندوز القياسية المستخدمة
في نظامي ويندوز 10 وويندوز 11، والتي تسمح للنظام بتتبع الأخطاء المتعلقة بنظام التشغيل
أو التطبيقات والإبلاغ عنها. ويستخدم النظام الأداة للإبلاغ عن خطأ وتلقى توصيات الحل المحتملة.
وتثق أدوات مكافحة الفيروسات عادةً في (WerFault) نظرًا إلى أنه برنامج ويندوز شرعي قابل للتنفيذ
ومُصرَّح به من مايكروسوفت، لذا فإن تشغيله على النظام لن يؤدي عادةً إلى إطلاق تنبيهات لتحذير الضحية.
وفور بدء تشغيل (WerFault.exe)، فإنه يستخدم خللًا معروفًا في التحميل الجانبي لملفات (DLL)
بهدف تحميل الملف الخبيث (faultrep.dll) الموجود في ملف (ISO).


وعادةً ما يكون (faultrep.dll) ملف (DLL) شرعيًا يُوجد في المجلد (C:\Windows\System) المطلوب
لتشغيل (WerFault) على النحو الصحيح. ومع ذلك، يحوي إصدار (DLL) الضار في (ISO) رمزًا إضافيًا لتشغيل البرنامج الضار.

ويُطلق على تقنية إنشاء مكتبات (DLL) ضارة تحت الاسم نفسه للمكتبات الشرعية
على نحو تُحمّل به جانبيًا بدلًا منها اسم، (DLL sideloading).

ويتطلب التحميل الجانبي لملفات (DLL) وجود إصدار ضار من ملف (DLL) في الدليل نفسه،
مثل: الملف القابل للتنفيذ الذي يستدعيه. وفور بدء تشغيل الملف القابل للتنفيذ، سيعطي ويندوز الأولوية له
على حساب ملف (DLL) الأصلي الخاص به طالما أنه يحمل الاسم نفسه.

وبتحميل ملف (DLL) الخبيث في هذا الهجوم، فإنه سينشئ مسارين، أحدهما يُحمِّل ملف (DLL) الخاص
بملف (Pupy Remote Access Trojan – dll_pupyx64.dll) في الذاكرة، والآخر يفتح جدول بيانات (XLS) المُرفَق ليكون طُعمًا.

يُذكر أن (Pupy RAT) هو ملف خبيث مفتوح الصدر ومتاح للعامة في لغة البرمجة بايثون (Python)
ويدعم تحميل ملفات (DLL) العاكسة لتفادي الاكتشاف، ويُنزَّل وحدات إضافية لاحقًا.

وتسمح البرامج الضارة لجهات التهديد الفاعلة بالوصول الكامل إلى الأجهزة المصابة،
وتمكينها من تنفيذ الأوامر، أو سرقة البيانات، أو تثبيت المزيد من البرامج الضارة، أو الانتشار خلال الشبكة.

وبوصفها أداة مفتوحة المصدر، فقد استخدمتها العديد من جهات التجسس المدعومة حكوميًا،
مثل: مجموعتي (APT33)، و (APT35) الإيرانيتين، ذلك أن تلك الأدوات تجعل عملية الإسناد صعبة التعقب.

وقد شوهد موزعو برامج (QBot) الخبيثة يتبنون سلسلة هجوم مماثلة الصيف الماضي،
حيث أساءوا استخدام حاسبة ويندوز (Windows Calculator) للتهرب من أن تكتشفها برامج الأمان.


المصدر / البوابة العربية للأخبار
 

الدوكاري

المشرف العام
عضوية موثوقة
إنضم
11 ديسمبر 2022
المشاركات
635
مستوى التفاعل
4,523
النقاط
2,370
العمر
29
الإقامة
الجزائر
مجموع اﻻوسمة
3
شكرا لك أخي سليم
2023 سيكون عام ساخن :confused:
 

كلمة المدير

جميع المواضيع والمشاركات المكتوبة تعبّر عن وجهة نظر صاحبها ,, ولا تعبّر بأي شكل من الاشكال عن وجهة نظر إدارة المنتدى .

تواصل مع فريق العمل

  • Algeria, Palestine

  • t.me/techawzen

  • contact@techawzen.com

  • techawzen.com

عن منتديات تكاوزن العربية techawzen

تكاوزن، منتدى عربي يجمع محترفي التقنية، البرمجيات، الأمن السيبراني، أنظمة التشغيل، ومجتمع النخبة في المحتوى الحصري والدعم الفني.

تابعنا على المواقع الاجتماعية


إتصل بنا

 

أعلى

خيارات الاستايل

تلوين الاقسام
خلفية المنتدى
نوع الخط
جدول المنتديات
تمديد المنتدى
فصل الأقسام
إخفاء السايدبار
حجم الخط
الصورة الرمزية
بيانات العضو
إخفاء التواقيع

إرجاع خيارات الإستايل