البرمجيات الخبيثة خطيرة بما فيه الكفاية. لكن تلك التي تبدو غير ضارة لأنها تحمل شكلاً من مؤشرات الشرعية ربما تكون الأسوأ من هذا النوع. هذا هو الحال مع برنامج تشغيل خبيث جديد يسمى "FiveSys".
وجد باحثو الأمن في Bitdefender أن هذا البرنامج الضار الجديد ، وهو برنامج rootkit ، تم توقيعه رقميًا بواسطة مايكروسوفت نفسها. يحمل برنامج التشغيل الخبيث FiveSys شهادة معامل جودة أجهزة Windows (WHQL) التي توفرها مايكروسوفت بعد التحقق الدقيق من حزم برامج التشغيل المرسلة من قبل البائعين الشركاء المتعددين من خلال برنامج توافق أجهزة Windows (WHCP).
أوضح Bitdefender سبب وجود الجذور الخفية FiveSys وكيف يعمل:
الغرض من rootkit واضح ومباشر: فهو يهدف إلى إعادة توجيه حركة مرور الإنترنت في الأجهزة المصابة من خلال وكيل مخصص ، والذي يتم استخلاصه من قائمة مضمنة من 300 نطاق. تعمل إعادة التوجيه لكل من HTTP و HTTPS ؛ يقوم rootkit بتثبيت شهادة جذر مخصصة لإعادة توجيه HTTPS للعمل. بهذه الطريقة ، لا يحذر المتصفح من الهوية المجهولة للخادم الوكيل.
لقد لوحظ أن انتشار FiveSys يقتصر حتى الآن على الصين فقط ، وربما يشير ذلك إلى أن الجهات الفاعلة في التهديد تهتم بشكل أساسي بهذا الجزء من المنطقة. فيما يتعلق بالخصائص الرئيسية الأخرى ، يذكر المستند التقني المرتبط أيضًا أن الجذور الخفية تمنع تعديلات التسجيل وتحاول أيضًا منع وصول منافسيها إلى نظام مصاب.
بالإضافة إلى إعادة توجيه حركة المرور على الإنترنت ، فإن الجذور الخفية تمنع أيضًا تحميل برامج التشغيل من مجموعات كتابة البرامج الضارة الأخرى ، حيث إنها تحاول على الأرجح تقييد وصول الجهات التي تهدد المنافسين إلى النظام المخترق.
يقول Bitdefender أنه بعد تنبيه مايكروسوفت من هذا rootkit الخبيث ، قامت الشركة بإزالة توقيعها من FiveSys. يمكنك أن تقرأ عنها بمزيد من التفاصيل في منشور المدونة الرسمي هنا.
ومن المثير للاهتمام أن هذه ليست المرة الأولى التي يحدث فيها شيء كهذا في الذاكرة الحديثة. تم التحقق من صحة برنامج ضار مشابه يسمى "Netfilter" بواسطة مايكروسوفت مرة أخرى في يونيو على الأرجح بطريقة مماثلة.
ليست هناك تعليقات:
إرسال تعليق