احذر من نتائج بحث CCleaner الوهمية التي تقدم برامج ضارة لسرقة المعلومات

 كشف باحثو Avast عن حملة "FakeCrack" التي ظهرت مؤخرًا. تغري حملة البرمجيات الخبيثة المستخدمين بتنزيل برامج متصدعة مزيفة.

يقول الباحثون إن الجهات الفاعلة السيئة التي تقف وراء الحملة قد استخدمت بنية تحتية واسعة لتقديم البرامج الضارة وسرقة البيانات الشخصية وغيرها من البيانات الحساسة ، بما في ذلك أصول التشفير.

آلية Black SEO

تنبع العدوى من مواقع مشكوك فيها يُزعم أنها تقدم إصدارات متصدعة من برامج معروفة ومستخدمة ، مثل الألعاب أو البرامج المكتبية أو برامج تنزيل محتوى الوسائط المتعددة. يتم وضع هذه المواقع في أعلى المراكز في نتائج محرك البحث.

نتائج بحث Google التي تسلط الضوء على المواقع الضارة


تؤدي غالبية النتائج في الصفحة الأولى الموضحة في الصورة أعلاه إلى اختراق مواقع الويب وينتهي الأمر بالمستخدم إلى تنزيل برامج ضارة بدلاً من الكراك. وهذا ما يسمى آلية Black SEO التي تستغل تقنيات فهرسة محرك البحث.

عند النقر على الرابط ، يتم إعادة توجيه المستخدم عبر شبكة من المجالات إلى الصفحة المقصودة. هذه المجالات لها نمط مماثل ويتم تسجيلها في Cloudflare باستخدام عدد قليل من خوادم الأسماء.

يقول باحثو Avast: "بشكل عام ، قامت Avast بحماية ما يقرب من 10000 مستخدم من الإصابة يوميًا والذين يقيمون أساسًا في البرازيل والهند وإندونيسيا وفرنسا."

تأخذ نتائج البحث الضحية عبر مواقع الويب المختلفة التي تعرض أخيرًا صفحة مقصودة تحتوي على ملف ZIP للبرامج الضارة. على سبيل المثال ، ملف تقاسم الملفات اليابانيةend.jp أو mediafire.com. يقول الباحثون إن ملف ZIP محمي بكلمة مرور باستخدام رقم تعريف شخصي ضعيف مثل "1234" ، وهو موجود فقط لحماية الحمولة من اكتشاف برامج مكافحة الفيروسات.

الصفحة المقصودة

يحتوي هذا ZIP على ملف واحد قابل للتنفيذ ، يُسمى عادةً setup.exe أو cracksetup.exe. جمع الباحثون ثمانية ملفات تنفيذية مختلفة تم توزيعها بواسطة هذه الحملة.

سرقة المعلومات البرمجيات الخبيثة

تجمع الشفرة الخبيثة معلومات حساسة من جهاز الكمبيوتر ، بما في ذلك كلمات المرور أو بيانات بطاقة الائتمان من المتصفح وبيانات اعتماد المحافظ. ثم يتم تحميل البيانات على خوادم C2 بتنسيق ZIP مشفر ، لاحظ الباحثون أن مفتاح تشفير ملف ZIP مشفر بشكل ثابت في الملف الثنائي ، مما يعني أنه قد يكون من السهل الوصول إليه.

يذكر الباحثون أن ميزة اختطاف الحافظة تعمل مع مجموعة متنوعة من عناوين العملات المشفرة ، بما في ذلك عناوين Bitcoin و Ethereum و Cardano و Terra و Nano و Ronin و Bitcoin Cash. تستخدم البرامج الضارة أيضًا وكلاء لسرقة بيانات اعتماد حساب سوق العملة المشفرة باستخدام هجوم man-in-the-middle الذي يصعب على الضحية التعرف عليه.

لذلك ، إذا كنت تشك في تعرض جهاز الكمبيوتر الخاص بك للاختراق ، فتحقق من إعدادات الوكيل وقم بإزالة الإعدادات الضارة باستخدام الإجراء التالي.

  • قم بإزالة مفتاح التسجيل AutoConfigURL في HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings

يمكن للضحايا تعطيله بالانتقال إلى الشبكة والإنترنت في إعدادات Windows وتحويل خيار "استخدام خادم وكيل" إلى "إيقاف".

0 تعليقات