هذه البرامج الضارة الجديدة لا يمكن اكتشافها بواسطة برامج مكافحة الفيروسات على نظام التشغيل Windows، الجميع آمن!

أخبار سيئة لمستخدمي Windows، ظهور نسخة جديدة مثيرة للقلق من البرنامج الخبيث Raspberry Robin الشهير. وفقًا للباحثين، فإنه لا يمكن اكتشافه فعليًا من خلال الحلول الرائدة في مجال مكافحة الفيروسات وأمن نقاط النهاية.

كشفت شركة الأمن السيبراني HP Wolf Security عن تفاصيل حملة البرامج الضارة الجديدة Raspberry Robin التي تم رصدها في مارس 2024. ويعتمد هذا التطور الأخير على ملفات Windows Script (WSF) لاستعادة ونشر حمولاتها الضارة خلسة على الأنظمة المصابة.

وفقًا لتحليل HP، تستخدم ملفات WSF سلسلة من أساليب التهرب لتتسلل تحت رادار برامج الأمان وجهود تحليل الباحثين الأمنيين. يتضمن ذلك إيقاف التنفيذ في حالة اكتشاف منتجات أمنية معينة مثل Kaspersky أو ​​Bitdefender،بالإضافة إلى تكوين استثناءات Microsoft Defender لمنع المسح.

اقرأ أيضا-احذر من برنامج تثبيت Adobe هذا، فهو مزيف ويخفي برامج ضارة خطيرة

برامج مكافحة الفيروسات غير قادرة على اكتشاف البرامج الضارة

والجدير بالذكر أن البرامج النصية لم يتم تصنيفها حاليًا على أنها ضارة بواسطة أي محركات مكافحة فيروسات على الماسح الضوئي المتعدد الخاص بـ VirusTotal، والذييسمح للبرامج الضارة بالانتشار دون مواجهة أي إجراءات دفاعية.

ظهر Raspberry Robin، المعروف أيضًا باسم QNAP، لأول مرة في سبتمبر 2021، وانتشر عبر أجهزة USB الضارة. لكن مؤلفيها جربوا منذ ذلك الحين ناقلات توزيع جديدة، مثل حملات الهندسة الاجتماعيةتوجيه الضحايا إلى النطاقات التي تستضيف ملفات WSF المخترقة.

عند تنفيذها على نظام Windows ضعيف، يمكن للبرامج النصية لـ WSF استرداد عدد من الحمولات المحتملة من عائلة البرامج الضارة Raspberry Robin. وتشمل هذه البرامج أحصنة طروادة لسرقة البيانات مثل SocGholish، وإشارات Cobalt Strike، بالإضافة إلى سلائف فيروسات الفدية لشبكات الشركات.

من يقف وراء هجمات راسبيري روبن؟

تم ربط هذه البرامج الضارة بمجموعة جديدة من مجرمي الإنترنت تُعرف باسم Storm-0856، والتي لها علاقات مع عصابات برامج الفدية سيئة السمعة ومقرها روسيا مثل Evil Corp وSilence.

وكشفت أبحاث HP أيضًا أن الإصدار الأحدث من Raspberry Robin يقوم بسلسلة من الفحوصات للتحقق من صحة بيئته قبل إطلاق المرحلة التالية من العدوى. وعلى وجه الخصوص، فإنه يفحص رقم إصدار Windows،يقوم بفحص الأجهزة الافتراضية المستخدمة في فحص البرامج الضارة ويقاطع عمليتها في حالة اكتشاف منتجات أمنية معينة.

إذا نجحت جميع عمليات التحقق، يقوم Raspberry Robin بعد ذلك بتكوين استثناءات Microsoft Defender لإزالة الحماية عن طريق إدراج محرك أقراص النظام الأساسي بالكامل في القائمة البيضاء. وبالتالي فإن البرامج الضارة تتمتع بوصول غير منضبط إلى الجهاز بأكمله،بينما تظل مخفية عن برامج الأمان الخاصة بالمستخدم.

لقد أصبح مطورو البرامج الضارة خبراء في صياغة تعليمات برمجية ضارة مصممة خصيصًا لتجنب اكتشافها، حتى من قبل كبار موردي برامج مكافحة الفيروسات. على سبيل المثال، تحدثنا إليك مؤخرًابرنامج ضار مخفي جيدًا ولم يلاحظه أحد لمدة لا تقل عن 5 سنواتقبل أن يكتشفها باحثو كاسبرسكي.

لذلك يوصى أكثر من أي وقت مضى بالحذر بشأن ما تقوم بتثبيته على أجهزتك. على الرغم من أنهم غير قادرين حاليًا على اكتشاف هذه البرامج الضارة الجديدة، إلا أننا لا نزال ننصحك باختيار أحد برامج مكافحة الفيروسات عن طريق المتابعةدليلنا لأفضل البرامج المجانية لنظام التشغيل Windows.ليست جميعها فعالة مثل بعضها البعض، لذلك من الأفضل استهداف البرامج التي تناسب احتياجاتك.