تحذيرات خبراء من برمجيات خبيثة جديدة تُباع عبر منتديات القرصنة

كشفت أبحاث الأمن السيبراني عن تعاون بين بائع برمجيات خبيثة يُعرف باسم “Triangulum” ومطور آخر يُدعى “Hexagon Dev”، بهدف تسويق وبيع برمجية Trojan RAT قادرة على السيطرة الكاملة على الأجهزة المخترقة وسرقة بيانات حساسة، بما في ذلك الصور، والموقع الجغرافي، وجهات الاتصال، والرسائل من تطبيقات شهيرة مثل Facebook، Instagram، WhatsApp، Skype، Telegram، Kik، Line، وGoogle Duo.

بائع شاب على الشبكة المظلمة

ووفقًا لتحليل نشرته شركة Check Point، فإن “Triangulum” هو شاب هندي يبلغ من العمر 25 عامًا، بدأ نشاطه في 10 يونيو 2017 بإنشاء متجر على الشبكة المظلمة لبيع البرمجيات الضارة. وكان المنتج الأول عبارة عن RAT متنقل يستهدف أجهزة أندرويد، قادر على سرقة البيانات من خوادم التحكم (C&C) وتدمير البيانات المحلية، بل وحذف نظام التشغيل بالكامل في بعض الحالات.

إعادة الظهور وتحالف جديد

بعد فترة انقطاع دامت قرابة عام ونصف، عاد “Triangulum” في 6 أبريل 2019 ليطلق منتجًا جديدًا باسم Rogue بالتعاون مع “Hexagon Dev” المتخصص في تطوير RAT للأندرويد. المنتج جاء بتصميم دعائي احترافي، وعُرض بأسعار تبدأ من 30 دولارًا للاشتراك الشهري وتصل إلى 190 دولارًا للوصول الدائم، بعد أن كان المنتج الأول يباع بـ60 دولارًا مدى الحياة.

من “Dark Shades” إلى “Rogue”

التحقيق أظهر أن Rogue (الإصدار 6.2) هو تطوير لبرمجية Dark Shades (الإصدار 6.0) التي باعها “Hexagon Dev” قبل أن يستحوذ عليها “Triangulum” في أغسطس 2019. كما دمج الأخير بعض خصائص برمجية Hawkshaw مفتوحة المصدر، ليصنع أداة هجومية بقدرات واسعة تشمل التحكم الكامل بالجهاز، سرقة أي نوع من البيانات، تعديل الملفات، وتحميل برمجيات إضافية، إضافة إلى استغلال ميزات أمان أندرويد عبر خاصية إمكانية الوصول لتسجيل أنشطة المستخدم.

استغلال خدمات “Firebase” لإخفاء الأنشطة

من بين التقنيات التي اعتمدتها برمجية Rogue استخدام بنية Firebase السحابية التابعة لجوجل كخوادم تحكم وسيطرة (C2)، ما يسمح بإخفاء الأوامر الخبيثة وتخزين البيانات المسروقة عبر خدمات مثل Cloud Messaging، Realtime Database، وFirestore.

تسريب النسخة في 2020

في أبريل 2020، تعرضت Rogue لتسريب في أحد منتديات القرصنة، حيث أكد باحث الأمن السيبراني Lukas Stefanko أن البرمجية تعاني من “مشكلات أمنية كبيرة”، وأنها في جوهرها نسخة معدلة من Dark Shades. ورغم ذلك، ما زال فريق “Triangulum” يتلقى طلبات من عملاء مهتمين على الشبكة المظلمة.

تحذيرات أمنية

رئيس أبحاث Check Point، Yaniv Balmas، أوضح أن سوق البرمجيات الضارة على الشبكة المظلمة ما زال يشبه “الغرب المتوحش”، حيث تتطور هذه البرمجيات باستمرار ويصعب تعقبها أو التصدي لها بفاعلية، مؤكدًا أن المجرمين الإلكترونيين أصبحوا أكثر ابتكارًا في تصميم وتسويق أدواتهم الخبيثة.