التحليل التقني للبرنامج الخبيث المنتشر على facebook .

بسم الله الرحمن الرحيم

 

انتشر خلال الاسبوعين الماضيين برنامج خبيث يقوم بالانتشار عن طريق موقع التواصل الاجتماعي Facebook يستخدم فيها طريقه سريعه للانتشار , فعند الضغط على الرابط الملغوم يقوم بارسال تنبيه لجميع الاصدقاء لديك بانك قمت بعمل لهم اشاره mention وعند فتح التنبيه يقوم بتحميل ملف يسمى comment_77593864.jse وهو سكربت مبرمج بال javascript  .

 

اولا ما نوع هذا البرنامج الخبيث ؟

هو عباره عن Trojan downloader لا يحوي على تعليمات ضاره بالنظام لكنه يقوم بتحميل البرنامج الخبيث المراد زرعه عند الضحيه من موقع المخترق .

 

ثانيا ما هدف البرنامج الخبيث ؟

يقوم هذا البرنامج الخبيث عند فتحه يقوم بتحميل مجموعه من الملفات التشغيليه التي تحوي احد انواع البرامج الخبيثه الذي سيتم زرعه عند الضحيه و يقوم بتحميل اضافه للمتصفح الذي يستخدم لحقن صفحه المستخدم على موقع facebook بالتنبيه المزيف الذي يحوي رابط تحميل البرنامج الخبيث .

 

ثالثا اسئله تهمك بالنسبه لهذا البرنامج الخبيث :

1) هل ما زال تأثير البرنامج الخبيث فعالا لهذا اللحظة ؟

لقد تم حظر المواقع التي يقوم البرنامج الخبيث بتحميل البرامج الخبيثة الضاره منها وقامت جوجل بحضر الملف من سيرفراتها لكن يجب الحذر من تشغيل البرنامج وعدم تحميله اذا ما اعاد المخترق تشغيل الخدمه ورفع الملفات  .

 

2) هل يحدث هذا البرنامج الخبيث اضرار في النظام ؟

من التحليل الاولي لهذا البرنامج و بالاستعانه مع نتائج الباحثين في موقع security.stackexchange.com و hybrid-analysis فانه البرامج الخبيثه التي يتم تحميلها تحوي على مكتبات التشفير وهذا يدل على امكانية ان يكون البرنامج الخبيث هو من نوع ransomware وهي برامج الفديه التي تقوم بتشفير الملفات لكن بعد التحليل من قبل الباحثين وجد انها غير مستخدمة في تشفير ملفات المستخدم ولكن في فك تشفير بعض البيانات المشفره داخل الملفات الخبيثة التي يتم تحميلها  و لم يتم للان اعلان عن ضحايا تم تشفير ملفاتهم .
3) قمت بالضغط على رابط وتحميل البرنامج هل تم اختراقي ؟

البرنامج الخبيث لا يعمل بشكل تلقائي عن تحميله يجب على الضحيه تشغيله , لكن اذا كان المتصفح عندك قد تم اعداده لفتح الملفات عند تحميلها فيجب عليك حذف اي اضافه جديده على المتصفح . ( يرجى التاكد من اعادادات المتصفح بازاله خيار التشغيل التلقائي ) .

 

رابعا التحليل التقني للبرنامج الخبيث :

يتم تحميل البرنامج الخبيث من هذا الرابط :

https://doc-10-50-docs.googleusercontent.com/docs/securesc/ha0ro937gcuc7l7deffksulhg5h7mbp1/n6jgr1l9o9qedfq7aorhbu7bq90o5v3u/1466856000000/01294005275620803036/*/0BynbM0gG6RaBbmJGYmV1WTZXZWM?e=download

يقوم البرنامج الخبيث بالاتصال بهذه domains

Domain Address Country
www.google.de 172.217.19.195 United States
whos.amung.us 67.202.94.94 United States
clients1.google.de 172.217.18.3 United States
userexperiencestatics.net 104.27.171.159 United States
ssl.gstatic.com 172.217.19.195 United States

 

ليقوم بتحميل الملفات التي تحوي البرنامج الخبيث وقد قمنا في مختبر REM4A بفك تشفير اسماء وروابط تحميل هذه الملفات الخبيثة من البرنامج الخبيث

http://userexperiencestatics.net/ext/Autoit.jpg   autoit.exe
http://userexperiencestatics.net/ext/bg.jpg       bg.js
http://userexperiencestatics.net/ext/ekl.jpg      ekl.au3
http://userexperiencestatics.net/ext/ff.jpg       ff.zip
http://userexperiencestatics.net/ext/force.jpg     force.au3
http://userexperiencestatics.net/ext/sabit.jpg     sabit.au3
http://userexperiencestatics.net/ext/manifest.jpg  manifest.json
http://userexperiencestatics.net/ext/run.jpg   run.bat
http://userexperiencestatics.net/ext/up.jpg    up.au3
http://whos.amung.us/pingjs/?k=pingjse346      ping.js
http://whos.amung.us/pingjs/?k=pingjse3462     ping2.js

 

قمت بجمع بعض الملفات الخبيثة مع dump للبرنامج عند تشغيله :

رابط الملف : تحميل

كلمه السر : rem4a

من خلال تحليل ملف autoit وجدنا ان هذا البرنامج الخبيث يقوم :

1) اغلاق المتصفح المفتوح حاليا .

2) استبدال shortcut للمتصفحات بshortcut يتم وضع داخل مسار التشغيل كود تفعيل الاضافه التي يقوم من خلالها البرنامج بالانتشار على facebook

3) اضافه نفسه الى HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ليقوم بالعمل تلقائيا عن تشغيل الجهاز

4) يحوي ملف up.au3 على قيم يتم ادخالها الى autoit.exe ليقوم بعمليه لم نتمكن من معرفتها لعدم وجود ملف up.au3 لنا .

 

من خلال البحث عن البرنامج الخبيث تم جمع هذه المعلومات :

البرنامج الخبيث يقوم بتسجيل كل ما يتم كتابته باستخدام لوحه المفاتيح .

لديه القدره على انشاء اتصال على جهاز المستخدم للانتظار حتى يتم الاتصال به .

 

لمزيد من  المعلومات : source