اكتشف فريق من باحثي الأمن الإلكتروني، في يناير الجاري 2023 وظيفة جديدة لأداة تغيير نظام أسماء النطاقات (DNS Changer) المستخدمة في حملة Roaming Mantis التخريبية.
وبحسب ما ذكر باحثو كاسبرسكي العالمية لابحاث الأمن الإلكتروني، يستطيع مجرمو الإنترنت، بموجب الوظيفة الجديدة المكتشفة، استخدام أجهزة التوجيه (الراوتر) في شبكات الإنترنت اللاسلكية (Wi-Fi) المخترقة في المقاهي والفنادق والمطارات والأماكن العامة الأخرى لإصابة المزيد من الهواتف الذكية التي تعمل بنظام أندرويد Android ببرمجية Wroba.o الخبيثة، وتستهدف التقنية الجديدة في الوقت الراهن المستخدمين في كوريا الجنوبية، ولكن بالإمكان استخدامها قريباً في بلدان أخرى.
وتعد حملة Roaming Mantis (المعروفة أيضاً باسم Shaoye) حملة تخريبية يقودها مجرمو الإنترنت، رصدتها كاسبرسكي لأول مرة في عام 2018، وتستخدم ملفات خبيثة من نوع حزمة تطبيق أندرويد APK للتحكّم في الأجهزة المصابة وسرقة المعلومات منها، كما تتمتع بقدرات التصيّد على أجهزة iOS وقدرات تعدين العملات الرقمية على أجهزة الحاسوب الشخصية.
ويدلّ اسم الحملة على انتشارها في الهواتف الذكية التي تتجول بين شبكات "واي فاي"، والتي يُحتمل أن تنقل الإصابة وتنشرها إلى غيرها من الأجهزة.
وظيفة جديدة لـ DNS Changer تمكنها من مهاجمة مزيد من المستخدمين عبر أجهزة الراوتر، فقد اكتشف خبراء كاسبرسكي أن Roaming Mantis قد أدخلت حديثاً وظيفة جديدة علىDNS Changer في Wroba.o (المعروف أيضاً بالأسماء Agent.eq وMoqhao وXLoader)، وهو البرمجية الخبيثة التي استُخدمت لأول مرّة في الحملة.
أقرأ أيضا | كيف تشفر خدمة "الواي فاي" ضد السرقة والاختراق؟
ويُعدّ DNS Changer برمجية خبيثة توجّه الجهاز المتصل بجهاز الراوتر المخترَق إلى خادم يقع تحت سيطرة مجرمي الإنترنت، بدلاً من خادم DNS الأصلي، وعندما يصل جهاز الضحية إلى الصفحة المقصودة، يُطلب من الضحية المحتملة تنزيل برمجية خبيثة يمكنها التحكّم في الجهاز أو سرقة بيانات اعتماد الدخول إلى حسابات مستخدمه.
وينحصر استهداف الجهة التخريبية الكامنة وراء Roaming Mantis، في الوقت الحالي، على أجهزة الراوتر الموجودة في كوريا الجنوبية، والتي تصنعها شركة كورية معروفة مختصة بالأجهزة الشبكية.
وتحصل وظيفة DNS Changer الجديدة على عنوان IP الخاص بالراوتر وتتحقق من طرازه لتمييزه عن غيره من الطرز، وضمان اختراق أجهزة الطراز المستهدف فقط عن طريق الكتابة فوق إعدادات DNS، ولاحظت كاسبرسكي في ديسمبر 2022، حدوث 508 عمليات تنزيل لحُزم APK خبيثة في كوريا الجنوبية.
وكشف تحقيق في الصفحات الخبيثة المقصودة عن أن المهاجمين يستهدفون أيضاً مناطق أخرى باستخدام الرسائل النصية القصيرة بدلاً من DNS Changer، ويستخدم هذا الأسلوب الرسائل النصية لنشر الروابط الخبيثة التي توجّه الضحية إلى الموقع المراد لتنزيل البرمجية الخبيثة على الجهاز أو سرقة معلومات المستخدم عبر أحد مواقع التصيّد.
