اكتشف باحثون أمنيون بابًا خلفيًا جديدًا مطورًا بلغة بايثون، يستخدم خدمة أنفاق شرعية كجسر لسرقة بيانات الاعتماد. ينتشر البرنامج الضار عبر ملفات خبيثة ويطبق تقنيات مراوغة لتجنب برامج مكافحة الفيروسات. بمجرد دخوله، يُنشئ اتصالات مشفرة مع خادم تحكم وقيادة (C2)، مما يصعّب حظر حركة مروره. هدفه سرقة كلمات المرور المخزنة في متصفحات مثل كروم وفايرفوكس، بالإضافة إلى صلاحيات الوصول إلى منصات سحابية مثل AWS وAzure.
أنفاق شرعية كغطاء لسرقة البيانات 🕳️
يستخدم الباب الخلفي خدمة أنفاق شرعية لإخفاء حركة مرور القيادة والتحكم الخاصة به، مما يعقّد اكتشافه من قبل أنظمة الأمن المحيطي. مكتوب بلغة بايثون، ويستخدم مكتبات قياسية للتفاعل مع نظام التشغيل، واستخراج البيانات من مخازن كلمات المرور في المتصفحات، وجمع بيانات اعتماد الخدمات السحابية عبر واجهات برمجة التطبيقات (APIs). يسمح تصميمه المعياري بتحديث وحدات السرقة دون تعديل جوهر البرنامج الضار. يشير الباحثون إلى أن قدرته على المراوغة تشمل فحوصات بيئة الاختبار (sandbox) وتأخيرات في التنفيذ لتجنب التحليل الآلي.
مجرمي الإنترنت أيضًا يعرفون استخدام الشبكات الخاصة الافتراضية (VPNs)، لكن للسرقة 🦹
يبدو أن الأشرار أيضًا تطوروا وأصبحوا يستخدمون أنفاق VPN مثل أي موظف مكتب يريد مشاهدة Netflix من العمل. الفرق أنهم لا يبحثون عن مسلسلات، بل عن كلمات مرور AWS وAzure الخاصة بك. الأمر المحزن أن خدمة الأنفاق قانونية وشرعية تمامًا، لذا لا يمكننا حتى إلقاء اللوم على الأداة. الأمر أشبه بلص يستخدم أوبر للوصول إلى منزلك: السيارة ليست مذنبة، لكن الرحلة لا تزال مريبة.