في الأسبوع الماضي، تعرض موقع مطور الأجهزة الشهير CPUID لهجوم من قبل قراصنة. استبدل المتسللون روابط التنزيل الخاصة ببرامج مراقبة الأجهزة المتعددة مثل CPU-Z وHWMonitor. عندما يقوم المستخدمون بتشغيل الإصدارات الضارة التي أسقطها المتسللون، فسوف يصابون بأحصنة طروادة التي يمكن الوصول إليها عن بعد. لكي نكون منصفين، على الرغم من أن برنامجًا مثل CPU-Z معروف جدًا، إلا أن فريق CPUID ليس شركة كبيرة، وبالتالي ليس لديه القدرة على إجراء تحقيقات أمنية مفصلة. ولذلك، فإن التفاصيل لا تزال تعتمد على التقارير الصادرة عن شركات أمنية أخرى، مثل كاسبرسكي.
يجب أن يكون هناك عدد لا بأس به من المستخدمين المصابين:
عادةً ما يتم استخدام برامج الكشف عن الأجهزة أو مراقبتها مثل CPU-Z وHWMonitor بواسطة المستخدمين المحترفين. لا ينبغي أن يكون عدد المستخدمين الذين يقومون بتثبيت مثل هذه البرامج كبيرًا جدًا، ولكن مع ذلك، اكتشف Kaspersky ما لا يقل عن 150 هجمة.
وبالنظر إلى معدل الاستخدام الحالي لسلسلة برامج الأمان من Kaspersky حول العالم، فإننا نعتقد بشكل متحفظ أن العدد الفعلي للمستخدمين المصابين يجب أن يصل إلى عشرات الآلاف، مع حدوث معظم حوادث الإصابة في البرازيل وروسيا والصين.
وقع الهجوم من الساعة 15:00 بالتوقيت العالمي في 9 أبريل 2026 إلى الساعة 10:00 بالتوقيت العالمي في 10 أبريل (التوقيت المحلي: من الساعة 23:00 يوم 9 أبريل 2026 إلى الساعة 18:00 يوم 10 أبريل 2026، بإجمالي 19 ساعة، وليس الـ 6 ساعات المقدرة مسبقًا بواسطة CPUID).
إذا قمت بتنزيل برنامج مثل CPU-Z من خلال موقع CPUID خلال الفترة المذكورة أعلاه، فمن المستحسن إجراء نسخ احتياطي للبيانات على الفور وإعادة تثبيت النظام. من الأفضل تدوير كافة المفاتيح المختلفة وإجراء فحص كامل لملفات النسخ الاحتياطي باستخدام برامج مثل Kaspersky.
يؤدي كسل المتسللين إلى انخفاض عدد الإصابات:
تجدر الإشارة إلى أن تتبع هذا الهجوم بسيط للغاية، لأن المتسلل أعاد استخدام اسم النطاق الذي أصدر سابقًا نسخة ضارة من FileZilla، لذلك من السهل نسبه إلى مجموعة المتسللين المرتبطة بـ STX RAT.
STX RAT عبارة عن حصان طروادة يمكن الوصول إليه عن بُعد مزود بـ HVNC (التحكم المتقدم في الشبكة الافتراضية) ووظائف قوية لسرقة المعلومات. لديه وظائف مثل التحكم عن بعد، وتنفيذ الحمولة اللاحقة وعمليات ما بعد الاستغلال، مثل تنفيذ EXE/DLL/PowerShell/shellcode في الذاكرة. يمكنه أيضًا إنشاء وكيل عكسي وإجراء تفاعل سطح المكتب.
المشكلة هي أن المتسللين كانوا كسالى ولم يسجلوا اسم نطاق جديد. في حادثة تسميم FileZilla (لم يتم اختراق البرنامج نفسه، لكن المتسللين أطلقوا النسخة المسمومة عبر الإنترنت)، تم تسجيل اسم مجال C2 ذي الصلة من قبل شركة الأمن.
ولذلك، يمكن لبرامج الأمان مثل Kaspersky التعرف مباشرة على أسماء النطاقات الضارة واعتراضها. من الناحية النظرية، يجب اعتراض المستخدمين الذين يقومون بتثبيت برامج مكافحة الفيروسات مثل Kaspersky عند إصدار الإصدار الضار، بينما قد يصاب المستخدمون الذين لا يقومون بتثبيت برامج الأمان بالعدوى.
وقالت كاسبرسكي: إن القدرات الإجمالية لتطوير البرمجيات الخبيثة ونشرها وتشغيلها لدى المتسللين الذين يقفون وراء هذا الهجوم كانت منخفضة للغاية، مما سمح لنا باكتشاف الهجوم وحظره في مرحلة مبكرة.
يتعلم أكثر:
https://securelist.com/tr/cpu-z/119365/