الباحثون الصينيون يوقفون هجومًا خبيثًا أصاب آلاف الحواسيب

تم تتبع الروبوتات مرة أخرى إلى مجموعة تسميها shuangqiang (تسمى أيضًا بندقية مزدوجة) ، التي كانت وراء العديد من الهجمات منذ عام 2017 تهدف إلى المساومة على أجهزة الكمبيوتر Windows مع MBR و VBR Bootkits، وتثبيت برامج تشغيل ضارة لتحقيق مكاسب مالية وحركة مرور الويب على مواقع التجارة الإلكترونية.

بالإضافة إلى استخدام الصور التي تم تحميلها إلى بايدو تايبا وقال الباحثون إن توزيع ملفات التكوين والبرامج الضارة – وهي تقنية تسمى Steganography – بدأت المجموعة في استخدام Alibaba Cloud Storage لاستضافة ملفات التكوين ومنصة Baidu Analytics Tongji لإدارة نشاط مضيفيها المصابين.

يعتمد التسوية الأولية على جذب المستخدمين المطمئنين إلى تثبيت برنامج تشغيل الألعاب من بوابات ألعاب Smetchy التي تحتوي على رمز ضار تحت ستار التصحيح.

بمجرد تنزيل المستخدم وتثبيته ، يقوم بالوصول إلى معلومات التكوين المذكورة أعلاه لتنزيل برنامج منفصل يسمى “CS.DLL” من Baidu Tieba المخزنة كملف صورة.

في المراحل اللاحقة ، لا يقوم “Cs.dll” بإنشاء معرف BOT ويبلغ ذلك إلى الخادم الذي يسيطر عليه المهاجم ، ولكنه يضخ أيضًا برنامج تشغيل ثانٍ يقوم باختطاف عمليات النظام (على سبيل المثال ، lassas.exe و svchost.exe) من أجل تنزيل حمولة المرحلة التالية لتحسين دوافع المجموعة.

قام باحثو QIHOO أيضًا بالتفصيل سلسلة عدوى ثانية حيث يتم تغيير برنامج عميل اللعبة مع مكتبات ضارة (إصدار معدّل من Photobase.dll) ، باستخدام طريقة تسمى DLL Hojacking لإصدار وتحميل برنامج التشغيل الضار قبل تحميل الوحدة المشروعة.

وقالت الشركة إنها تواصلت مع فريق الأمن في بايدو في 14 مايو وأنهم اتخذوا إجراءات مشتركة لمنع انتشار الروبوت الإضافي عن طريق منع جميع التنزيلات من عناوين URL المعنية.

وقال بايدو: “خلال هذه العملية المشتركة ، من خلال تحليل معلومات التهديد والمشاركة والاستجابة ، شكلنا فهمًا أفضل للوسائل الفنية والمنطق وقواعد عصابة الأسلحة المزدوجة”.