الباحثون في «إسيت» يعطلون شبكة الروبوت الضارة VictoryGate

اكتشف باحثو شركة «إسيت»ESET مؤخرًا شبكة روبوت ضارة غير موثقة سابقًا تدعى VictoryGate. بدأ نشاطها منذ مايو 2019، وتتكون الشبكة بشكل أساسي من أجهزة في بيرو، حيث توجد هناك أكثر من 90٪ من الأجهزة المصابة. النشاط الرئيسي لشبكة الروبوت تلك هي “العملة المشفرة مونيرو”. ومن الضحايا لها منظمات في كل من القطاعين العام والخاص، بما في ذلك المؤسسات المالية. وبفضل البيانات التي تم الحصول عليها خلال هذا البحث ومشاركتها مع مؤسسة Shadowserver الغير ربحية، تم تعطيل جزء على الأقل من عملية الروبوت.

قام باحثو «إسيت» بالتوغل في العديد من أسماء النطاقات التي تتحكم في تصرفات الروبوت، واستبدالها بأجهزة لا ترسل أوامر تابعة لشبكة الروبوت التي يتوقعونها، ولكنها ببساطة تقوم بمراقبة النشاط القائم. واستنادًا إلى هذه البيانات والقياس عن بُعد من قبل «إسيت»، قدر بأن 35000 جهاز على الأقل أصيب بـ VictoryGate في مرحلة أو أخرى خلال هذه الحملة.

الأجهزة القابلة للإزالة هي ناقلة العدوى الوحيدة المستخدمة لنشر VictoryGate.  صرح “آلان واربورتون” الباحث في شركة «إسيت»، وقال: “يتلقى الضحية محرك أقراص USB تم توصيله في وقت سابق بجهاز مصاب. ويبدو أنه يحتوي على جميع الملفات التي تحمل نفس الأسماء والرموز التي كانت تحتويها قبل الإصابة. وبسبب هذا، سيكون شكل المحتوى متطابقًا تقريبًا للوهلة الأولى. و لكن تم استبدال جميع الملفات الأصلية بنسخة من البرامج الضارة. وعندما يحاول المستخدم فتح أحد هذه الملفات، سيفتح كلاً من الملف المقصود والحمولة الخبيثة.”

ويحذر الباحث “واربورتون” أيضًا من التأثير على أجهزة الضحايا: “هناك استخدام كبير جدًا للموارد من قبل الروبوت، مما يؤدي إلى تحميل وحدة المعالجة المركزية CPU بنسبة 90٪ إلى 99٪ بشكل مستمر. ويؤدي ذلك إلى إبطاء الجهاز وقد يتسبب في ارتفاع درجة الحرارة ومحتمل حدوث تلف “.

ووفقًا لبحث «إسيت»، بذل VictoryGate جهدًا أكبر بكثير لتجنب الكشف عنه بخلاف الحملات السابقة المماثلة التي لوحظت في منطقة أمريكا اللاتينية. وبالنظر إلى حقيقة أن الـbotmaster  يمكنه في أي وقت تعديل وظائف الحمولات التي يتم تنزيلها وتنفيذها على الأجهزة المصابة من التشفير إلى أي أنشطة ضارة أخرى، فإن هذا يعد خطرًا كبيرًا. نظراً لأن العديد من الضحايا الذين تم تحديدهم كانوا إما في القطاع العام أو في المؤسسات المالية.

 إذا كنت تشتبه في إصابة جهازك بهذا البرنامج الضار، فيمكنك استخدام برنامج«إسيت» ESET Online Scanner المجاني لتنظيف جهازك. تم الكشف عن وحدة المرحلة الأولى من قبل “منتجات إسيت للأمن” تحت مسمى (MSIL/VictoryGate).

 

 

 

 

العدد الأقصى لعناوين IP الفريدة التي تتصل بخادم أوامر وتحكم الروبوت يوميًا.

.

لمزيد من التفاصيل التقنية حول شبكة VictoryGate الروبوتية، اقرأ المدونة “بعد اكتشاف «إسيت»، تم تعطيل برنامج العملة المشفرة مونيرو في بيرو” على موقع WeLiveSecurity.com. تأكد من متابعة أبحاث «إسيت»على تويتر للحصول على آخر أخبار الأبحاث للشركة.