بالو ألتو نتوركس تحذر من تحديثات‏‏ وهمية لبرمجيات‏‏ ‏‏‏‏أدوبي فلاش‏

حذرت بالو ألتو نتوركس Palo Alto Networks، الشركة المتخصصة في تطوير الجيل التالي من الحلول الأمنية، من تحديثات وهمية خطيرة لبرمجيات أدوبي فلاش تخفي وراءها برامج لتعدين العملات الرقمية المشفرة، ‏‏‏ويتم عادة كشف تحديثات برنامج أدوبي فلاش الوهمية التي تخفي وراءها برمجيات ضارة أخرى، وتم خلال السنوات الأخيرة إخفاء برمجيات الاحتيال بطريقة سيئة على شكل برامج خبيثة قابلة للتنفيذ أو برامج قابلة للتنزيل تعتمد على ملفات نصية مصممة خصيصاً لتثبيت برامج تعدين العملات الرقمية أو برمجيات سرقة المعلومات، فضلاً عن برمجيات طلب الفدية الخبيثة.

وفي حال قام أحد الضحايا من المستخدمين بتفعيل مثل هذه البرمجيات على حاسب مضيف يعمل بنظام ويندوز ولا يتمتع بالحماية الكافية، فلن تتم ملاحظة أي نشاط غريب، إلا إذا تمت المطالبة بفدية محددة من قبل جهة الاحتيال التي دفعت بالتحديث الوهمي، ‏‏لكن ظهر في الآونة الأخيرة نوع جديد من تحديثات فلاش الوهمية يمكنها خداع المستخدم بشكل أكبر.

وقامت في وقت مبكر من شهر أغسطس 2018 العينات الوهمية التي تحاكي تحديثات فلاش الفعلية باستعارة الإشعارات المنبثقة التي يتم استخدامها عادة في أداة تثبيت برنامج أدوبي الرسمية.

وتعمل تحديثات برنامج فلاش الوهمية هذه على تثبيت برامج غير مرغوب بها، مثل برنامج تعدين العمليات الرقمية ‏‎XMRig‎‏، لكن يمكن لهذه البرامج الضارة أيضاً أن تقوم بترقية برنامج أدوبي فلاش التابع للضحية إلى أحدث إصدار مما يجعله يبدو شرعياً.‏

‏‏وبسبب هذا التحديث الشرعي لبرنامج الفلاش، قد لا تلاحظ الضحية المحتملة أي نشاط خارج عن المألوف، بينما يبدأ برنامج تعدين العملات الرقمية ‏‎XMRig‎‏ أو أي برنامج آخر غير مرغوب به في هذه الأثناء بالعمل بهدوء في خلفية نظام التشغيل ويندوز على حاسب الضحية. ‏
‏‎ ‎
‏‏وقد لاحظت بالو ألتو نتوركس من خلال أبحاثها على تحديثات برنامج فلاش الوهمية وجود ملفات تنفيذية لنظام ويندوز تحمل أسماءاً تبدأ دائماً بـ ‏‎AdobeFlashPlayer‎‏ وهي صادرة من جهات لا تعود بشكل أساسي لخوادم الويب القائمة على السحابة التابعة لشركة أدوبي.

وتحتوي هذه الملفات القابلة للتنزيل على النص ‏‎flashplayer_down.php?clickid‎‏= في عنوان الـ ‏‎URL‎‏ المستخدم، وقد وجدت الشركة 113 نموذجاً من البرامج الضارة التي تستوفي هذه المعايير منذ شهر مارس 2018 من خلال خدمة ‏‎AutoFocus‎‏.

كما وجدت أيضاً أن 77 نموذجاً من هذه البرامج الضارة مرتبطة ببرمجية ‏‎CoinMiner‎‏، بينما تتشارك بقية البرامج البالغ عددها 36 بعلامات أخرى من البرامج الضارة الـ 77 المتعلقة ببرمجية ‏‎CoinMiner‎‏ القابلة للتنفيذ. ‏
‏‎ ‎
‏‏وقد ظهرت للمستخدمين نوافذ منبثقة هي عبارة عن برنامج تثبيت أدوبي فلاش تدعو إلى تثبيت برنامج الفلاش، ومن ثم بدأ برنامج تعدين العملات الرقمية ‏‎XMRig‎‏ بالعمل في خلفية نظام ويندوز على الحاسب المصاب.

ويتلقى الضحايا المحتملين تحذيرات حول قيامهم بتشغيل الملفات التي تم تنزيلها على جهاز الحاسب الذي يعمل بنظام التشغيل ويندوز، ويمكن القول إن هذه الحملة تستخدم نشاطاً مشروعاً لإخفاء عمليات نشر خفية لبرامج تعدين العملات الرقمية وغيرها من البرامج الخبيثة الغير مرغوب بها.

ويبقى خطر الإصابة بهذه التحديثات الوهمية أقل بكثير بالنسبة للشركات التي تتمتع بأدوات مراقبة وتصفية متطورة للمواقع، والمستخدمين الذين يتمتعون بمستوى وعي مناسب، ‏‏ويتمتع عملاء بالو ألتو نتوركس بحماية أوسع ضد هذه التهديدات.

ويمكن لمنصة بالو ألتو نتوركس الخاصة بالتصدي للتهديدات الأمنية الكشف عن هذا النوع من البرامج الضارة، كما يمكن لمستخدمي خدمة ‏‎AutoFocus‎‏ تتبع هذه الأنشطة الضارة من خلال الدمج بين علامة برمجية ‏‎CoinMiner‎‏ ومعايير البحث المناسبة.