التهديد Rovnix يعود خلال الجائحة بقدرات تخريبية جديدة

شهد باحثون في كاسبرسكي خلال إبريل الماضي عودة التهديد المعروف Rovinx، الذي يتألف من مجموعة أدوات برمجية خبيثة أُنشئت لتنزيل برمجيات خبيثة على الأجهزة المستهدفة مع حمايتها من الانكشاف، وذلك في إطار حملة تخريبية استغلت جائحة فيروس كورونا المستجد. وخضع Rovnix الذي يتهدد جذر النظام المستهدف إلى ترقية ضُمِّنت حِملًا برمجيًا غير مألوف، في حين أصبح قادرًا على إصابة النظام بمنفذ خلفي مزوَّد بتروجان تجسس.

كان التهديد Rovnix رائجًا حتى جرى تسريب شيفرته المصدرية في العام 2013، ما جعله متاحًا للتمحيص والتحليل من قبل منتجي الحلول الأمنية وأطراف معنية أخرى. ومع ذلك، اكتشفت أنظمة مراقبة التهديدات لدى كاسبرسكي، في منتصف إبريل 2020، ملفات خبيثة تتضمّن مجموعة الأدوات البرمجية الخبيثة Rovnix. وقد جرى توزيع تلك الملفات، التي احتوت على التهديد المعروف، تحت اسم "مبادرة جديدة من البنك الدولي تتعلق بجائحة كورونا" باللغة الروسية.

وتضمنت مجموعة الأدوات البرمجية الخبيثة عددًا من التحسينات، مثل آلية لتجاوز ميزة "التحكّم في حساب المستخدم" UAC، وترقية الامتيازات على الجهاز المصاب، وحمولة برمجيات لم تكن ترتبط عادةً بمجموعة الأدوات البرمجية المحدّدة. وأظهر تحليل للملفات المكتشفة أن الحمولة كانت في الواقع منفذًا خلفيًا مع عناصر خاصة بتروجان للتجسس، ما يعني تمكين المهاجمين، بمجرد تثبيتها على الجهاز المصاب، من الوصول إلى الجهاز وجمع أنواع مختلفة من المعلومات منه.

وجرى توزيع التهديد عبر الملف المعنون بالاسم on the new initiative of the World Bank in connection with the coronavirus pandemic.exe، وهو ملف أرشيفي يُستخرج ذاتيًا ويتضمّن ملفًا مستنديًا وملفًا خبيثًا قابلًا للتنفيذ. واحتوى المستند على معلومات حول مبادرة جديدة من البنك الدولي جرى خلالها الاستشهاد بأقوال مسؤولين حقيقيين يعملون في المنظمة بوصفهم مؤلفين مشاركين في إعداد البيانات الوصفية، وذلك من أجل جعل الملف أكثر إقناعًا. ومع ذلك، يجري تنزيل مجموعة الأدوات الخبيثة وتبدأ الإصابة بمجرد فتح ذلك الملف.

ويُظهر هذا المثال، بحسب ألكسندر إريمين المحلل الأمني لدى كاسبرسكي، امرين اثنين؛ أنه لا يمكن الاطمئنان إلى عدم عودة التهديد القديم، وأن مجرمي الإنترنت قادرون على التأقلم سريعًا، نظرًا لاتسامهم بالمرونة في التعامل مع الأدوات التي يستخدمونها، وتجرّؤهم على ركوب موجة الموضوعات الساخنة، وقال: "أظهرت تحليلاتنا أن نشر الشيفرة المصدرية للتهديد الرقمي يمكن أن يؤدي إلى حدوث مفاجآت، مثلما هو الحال مع Rovnix، إذ لم يعد المخربون بحاجة إلى العمل من الصفر على تطوير أدوات لتجاوز الحماية، بل أصبحوا أكثر اهتمامًا بتعزيز قدرات برمجياتهم الخبيثة وإضافة "عناصر جيدة" إلى شيفرتها المصدرية".

وتوصي كاسبرسكي المستخدمين باتباع التدابير التالية لحماية أنفسهم من تهديدات مثل Rovnix:

• تجنّب تنزيل الملفات أو فتح المرفقات الواردة من مصادر غير موثوق بها.
• استخدام حل أمني موثوق به مثل Kaspersky Total Security.

يمكن الاطلاع على تفاصيل أوفى حول التهديد Rovnix وتحليله الفني على Securelist.com.