تم اكتشاف باب خلفي جديد مطور بلغة بايثون من قبل باحثين أمنيين، يستخدم خدمة أنفاق شرعية كجسر لسرقة بيانات الاعتماد. ينتشر البرنامج الضار عبر ملفات خبيثة ويطبق تقنيات مراوغة لتجنب برامج مكافحة الفيروسات. بمجرد دخوله، ينشئ اتصالات مشفرة مع خادم تحكم وقيادة (C2)، مما يصعّب حظر حركة مروره. هدفه هو سرقة كلمات المرور المخزنة في متصفحات مثل كروم وفايرفوكس، بالإضافة إلى صلاحيات الوصول لمنصات سحابية مثل AWS وAzure.
أنفاق شرعية كغطاء لسرقة البيانات 🕳️
يستخدم الباب الخلفي خدمة أنفاق شرعية لإخفاء حركة مرور الأوامر والتحكم الخاصة به، مما يعقّد اكتشافه من قبل أنظمة الأمن المحيطي. مكتوب بلغة بايثون، ويستخدم مكتبات قياسية للتفاعل مع نظام التشغيل، واستخراج البيانات من مخازن كلمات المرور في المتصفحات، وجمع بيانات اعتماد الخدمات السحابية عبر واجهات برمجة التطبيقات (APIs). يسمح تصميمه المعياري بتحديث وحدات السرقة دون تعديل جوهر البرنامج الضار. يشير الباحثون إلى أن قدرته على المراوغة تشمل فحوصات الصندوق الرملي (sandbox) وتأخيرات في التنفيذ لتجنب التحليلات الآلية.
مجرمي الإنترنت يعرفون أيضًا كيفية استخدام الشبكات الخاصة الافتراضية (VPNs)، ولكن للسرقة 🦹
يبدو أنه حتى الأشرار قد تطوروا وأصبحوا الآن يستخدمون أنفاق VPN مثل أي موظف مكتب يريد مشاهدة Netflix من العمل. الفرق هو أنهم لا يبحثون عن مسلسلات، بل عن كلمات مرور AWS وAzure الخاصة بك. الأمر المحزن حقًا هو أن خدمة الأنفاق قانونية وشرعية تمامًا، لذا لا يمكننا حتى إلقاء اللوم على الأداة. الأمر يشبه لصًا يستخدم أوبر للوصول إلى منزلك: السيارة ليست مذنبة، لكن الرحلة لا تزال مريبة.