قراصنة يستخدمون محرك Microsoft Build لتسليم البرامج الضارة بدون ملفات

يسيء ممثلو التهديدات استخدام Microsoft Build Engine (MSBuild) لتقديم أحصنة طروادة للوصول عن بُعد وبرامج ضارة لسرقة كلمات المرور على أنظمة Windows المستهدفة. والباحثين من شركة الأمن السيبراني Anomali يقال إن حملة مستمرة بنشاط ظهرت الشهر الماضي قالت يوم الخميس، مضيفا ملفات البناء الخبيثة جاءت جزءا لا يتجزأ مع التنفيذية المشفرة وكود القشرة التي تنشر خلفي ، والسماح للخصوم للسيطرة على أجهزة الضحايا وسرقة معلومات حساسة. MSBuild هي أداة بناء مفتوحة المصدر لـ .NET و Visual Studio تم تطويرها بواسطة Microsoft والتي تسمح بتجميع التعليمات البرمجية المصدر والتعبئة والاختبار ونشر التطبيقات.

حتى كتابة هذه السطور ، أشار اثنان فقط من موردي خدمات الأمان إلى أحد ملفات MSBuild .proj (" vwnfmo.lnk ") على أنه ضار ، في حين أن العينة الثانية (" 72214c84e2.proj ") التي تم تحميلها إلى VirusTotal في 18 أبريل لا تزال غير مكتشفة من قبل كل برامج مكافحة البرامج الضارة محرك. تم العثور على غالبية العينات التي تم تحليلها بواسطة Anomali لتقديم Remcos RAT ، مع عدد قليل من العينات الأخرى التي تقدم أيضًا Quasar RAT و RedLine Stealer . Remcos (المعروف أيضًا باسم برنامج التحكم عن بعد والمراقبة) ، بمجرد تثبيته ، يمنح الوصول الكامل إلى الخصم عن بُعد ، وتتراوح ميزاته من التقاط ضغطات المفاتيح إلى تنفيذ أوامر عشوائية وتسجيل الميكروفونات وكاميرات الويب ، في حين أن Quasar هو مصدر مفتوح المصدر يستند إلى .NET قادر على RAT من تسجيل المفاتيح ، وسرقة كلمات المرور ، من بين أمور أخرى. Redline Stealer ، كما يشير الاسم ، عبارة عن برنامج ضار سلعي يحصد بيانات الاعتماد من المتصفحات وشبكات VPN وعملاء المراسلة ، بالإضافة إلى سرقة كلمات المرور والمحافظ المرتبطة بتطبيقات العملة المشفرة. قال الباحثان في Anomali تارا جولد وجيج ميلي: "استخدمت الجهات الفاعلة في التهديد وراء هذه الحملة التسليم بدون ملفات كوسيلة لتجاوز الإجراءات الأمنية ، وتستخدم هذه التقنية من قبل الجهات الفاعلة لمجموعة متنوعة من الأهداف والدوافع". "تسلط هذه الحملة الضوء على أن الاعتماد على برامج مكافحة الفيروسات وحدها غير كافٍ للدفاع السيبراني ، وأن استخدام الكود الشرعي لإخفاء البرامج الضارة من تكنولوجيا مكافحة الفيروسات فعال وينمو بشكل كبير." وجدت هذه المقالة مثيرة للاهتمام؟ تابع THN على Facebook و Twitterو LinkedIn لقراءة المزيد من المحتوى الحصري الذي ننشره.