في الآونة الأخيرة ، أصبحت Microsoft في حالة تأهب أحمر بعد أن تعرض Windows للهجوم من البرامج الضارة. كان الخصم هذه المرة عبارة عن سلالة من البرامج الضارة الخالية من الملفات تسمى Astaroth. لقد قمنا بتغطية البرامج الضارة الخالية من الملفات في الماضي ، لذا تأكد من الدراسة إذا لم تكن متأكدًا مما يعنيه ذلك. في الأساس ، يحدث ذلك عندما تعيش البرامج الضارة داخل ذاكرة الوصول العشوائي للكمبيوتر بدلاً من نظام الملفات الخاص به ، مما يجعل اكتشافه أكثر صعوبة.
دعنا نستكشف لماذا تتعصب Microsoft بشأن Astaroth ، وكذلك ما يجب عليك فعله لحماية نفسك.
كيف ينتشر Astaroth؟
تمكن Astaroth من الالتفاف باستخدام ملف .LNK. يتم تحميل هذا الملف إلى موقع ويب ، ثم يتم إرسال رابط إلى موقع الويب في رسالة بريد إلكتروني.
إذا نقر شخص ما على الرابط ، فإنه ينشط ملف .LNK للتشغيل في Windows. يرسل هذا بعض الإرشادات إلى أداة سطر أوامر Windows Management Instrumentation (WMIC). هذا برنامج أصلي داخل Windows نفسه ، لذا فهو يتخطى برنامج مكافحة الفيروسات أثناء التنفيذ.
ثم يستخدم Astaroth مظهره تحت WMIC لإجباره على تنزيل وتشغيل جميع البرامج التي يحتاجها Astaroth للقيام بعمله. بمجرد أن يتم تجميع البرنامج الضار بالكامل ، ينطلق الهجوم.
بينما يقوم Astaroth بتنزيل الأدوات للقيام بعمله ، فهي جميعها أدوات نظام شرعية يستخدمها Windows بشكل أصلي. على هذا النحو ، فإنه يجعل من الصعب على برنامج مكافحة الفيروسات اكتشافه ، حيث يستخدم الهجوم عمليات Windows الرئيسية ضد نفسه. وهذا هو سبب تسميته بهجوم “بلا ملفات” ، حيث لا يتم تنزيل أي ملفات أجنبية وحفظها.
طريقة الهجوم هذه لها فئة أكبر مخصصة لها: هجوم “العيش خارج الأرض”. هذا لأن الفيروس لا يقدم تقنيًا أي عوامل جديدة إلى النظام ؛ إنه ببساطة يستخدم ما هو موجود بالفعل لتنزيل الحمولة وتنفيذها.
ماذا تفعل Astaroth؟
الهدف الرئيسي لـ Astaroth هو جمع أكبر قدر ممكن من المعلومات. ينفذ هذا من خلال عدة نواقل هجوم. يتتبع برنامج keylogger كل ما يكتبه المستخدم ، بينما يتم فحص الحافظة بحثًا عن معلومات حساسة. ستجبر Astaroth التطبيقات أيضًا على تفريغ معلومات عن نفسها.
هذه هي الطريقة التي تعمل بها معظم البرامج الضارة هذه الأيام. ابتعدت الفيروسات والبرامج الضارة عن إلحاق الضرر وبدلاً من ذلك تختار تنفيذ الإجراءات التي إما تحصد البيانات أو تجني المال للمطورين. Astaroth هو مثال صارخ على ذلك ، حيث إن تركيبه الخالي من الملفات وطرق الكشف المتعددة تجعله قوة لا يستهان بها.
كيف تتجنب هذا الهجوم
لحسن الحظ ، في حين أن هذا التكتيك يجعل من الصعب على مضاد الفيروسات أن يلتقط الهجوم ، فإن الناقل الأولي الفعلي يسهل اكتشافه بالعين البشرية. كن حذرًا دائمًا مع الروابط التي تنقر عليها في رسائل البريد الإلكتروني ، خاصة تلك التي يتم إرسالها من أشخاص لم تسمع منهم من قبل.
أعداء بلا خجل
إن الطبيعة الخفية للبرامج الضارة الخالية من الملفات تجعلها تشكل تهديدًا خطيرًا ، حتى بالنسبة للأشخاص الذين لديهم برامج مكافحة فيروسات مثبتة. أظهرت أحدث موجة Astaroth كيف يمكن للبرامج الضارة التي لا تحتوي على ملفات أن تحصل عليها. أنت الآن تعرف ما هو عليه ، وما يمكنه فعله ، وكيفية تجنب الإصابة.