رصد باحثون بشركة CloudSEK للأمن المعلوماتي موقعاً إلكترونياً خبيثاً يستهدف خداع الراغبين في ترقية أنظمة تشغيل حواسيبهم إلى ويندوز 11، بينما في الحقيقة يسرق بيانات تصفحهم ومحافظهم للعملات المشفرة.
وبحسب "Bleeping Computer"، فإن الموقع المزيف مصمم بشكل فائق الدقة ليقدم نسخة مطابقة لتصميم الصفحة الترويجية الرسمية لويندوز 11 على موقع مايكروسوفت.
ويعد الموقع المزيف زواره بأنه يتيح لهم التحميل المباشر لأحدث أنظمة تشغيل مايكروسوفت للحواسيب الشخصية، دون ذكر أي تفاصيل عن متطلبات أساسية واجب توافرها في حاسوب المستخدم لتشغيله.
هجوم مُركب
يبدأ الهجوم في مرحلته الأولى قبل زيارة الضحية للموقع المزيف من الأساس، إذ أن البداية تكون من خلال إظهار الموقع المزيف في نتائج البحث على جوجل، لدى البحث عن طريقة تحميل ويندوز 11.
وحين يقع المستخدم في الفخ ويدخل إلى الموقع الخبيث ويضغط زر تحميل نسخة ويندوز 11 الوهمية، سيبدأ تحميل ملف من نوع ISO إلى جهاز المستخدم، والذي يحمل بداخله الملف الخاص بتفعيل برمجية خبيثة، أطلق عليها الباحثون اسم Inno Stealer.
بمجرد تشغيل البرمجية الخبيثة، فإنها تزرع 4 ملفات داخل نظام التشغيل، تعتمد مهمتها في المقام الأول على وضع مجموعة استثناءات لنظام حماية ويندوز Microsoft Defender، وكذلك تعطيل ملف الخصوصية Registery Security.
والهجوم هو أول ظهور لبرمجية "Inno Stealer"، وهي تعمل على حذف وتعطيل كل برمجيات الحماية من شركات ESET وEmoisoft، وذلك تجنبا لرصدها وحذفها.
إمكانيات هائلة
تعتمد برمجية "إنو ستيلر" على سرقة ملفات الارتباط المخزنة Cookies داخل متصفحات الإنترنت، وكذلك كافة بيانات الدخول المخزنة على المتصفحة من أسماء المستخدم وكلمات المرور الخاصة بحسابات المستخدم لدى الخدمات الإلكترونية.
كما تستهدف البرمجية الخبيثة جمع البيانات الخاصة بأي محفظة للعملات المشفرة تتواجد على جهاز الضحية.
البرمجية تستهدف جميع محافظ العملات المشفرة المخزنة داخل متصفحات الإنترنت مثل كروم ومايكروسوفت إيدج وBrave وأوبرا وVivaldi و360browser وكومودو.
وبعد أن تتم عملية الاستحواذ على كافة البيانات المتاحة وسرقة العملات المشفرة، يتم نقل كافة تلك البيانات إلى أحد الخوادم التابعة للمسؤولين عن الهجوم.
نصيحة مهمة
ويقدم الباحثون بشركة CloudSEK لعموم مستخدمي الإنترنت نصيحة مهمة بشأن السعي وراء تحديث أجهزتهم إلى ويندوز 11، وهي تتعلق بأهمية التأكد من رابط المواقع التي يزورونها، وأنها بالفعل تتبع شركة مايكروسوفت، وإنها ليست مجرد مواقع وهمية للاحتيال.
كذلك أوضح الباحثون ضرورة تجنب تحميل ملفات من نوع ISO من مصادر غير موثوقة، والاكتفاء بتحميلها فقط في حال كانت لتحديثات رسمية قادمة مباشرة من مايكروسوفت لنظام تشغيل أجهزتهم الحاسوبية.