أثناء عمليات التحقيق في إحدى الحوادث أمنية التي وقعت مؤخراً، اكتشفت الشركة الأمريكية المتخصصة في الأمن المعلوماتي" بالو ألتو نتوركس" برمجة خبيثة من فئة "ويبشيل" Webshell، والتي يعتقد بأنها استخدمت من قبل الجهة الإجرامية للوصول عن بعد إلى شبكة إحدى المؤسسات المستهدفة في منطقة الشرق الأوسط.. كما اكتشفت من قبل عن برمجة تتجسس على العديد من برامج الأندرويد.. وشكلت بنية برمجية "ويبشيل" الخبيثة هذه أمراً مثيراً للاهتمام بحد ذاته، إذ تكونت من برمجيتي "ويبشيل" منفصلتين، تعمل الأولى على حفظ وتحميل وظائف البرمجية الثانية بالكامل، لتُمكن بدورها الجهة المهددة من تشغيل مجموعة متنوعة من الأوامر انطلاقاً من السيرفر المستهدف، وبسبب وجود هاتين الطبقتين، تم باستخدام اسم "ثنائية الوظيفة" لوصف وتتبع حركة برمجية "ويبشيل" الخبيثة هذه. وخلال عمليات التحليل التي قامت الشركة بها، تمكنت بالو ألتو نتوركس من استخراج الأوامر التي تم تنفيذها من قبل برمجية "ويبشيل" ثنائية الوظيفة انطلاقاً من سجلات السيرفر المستهدف، وأظهرت نتائج عمليات التحليل التي قامت بها الشركة بأن الأوامر الصادرة عن الجهة المهددة تعود إلى شهر يونيو من العام 2016، ما يشير إلى تمكن الجهة المهددة من الوصول إلى الهدف منذ حوالي العام. بالإضافة إلى أن الأوامر الصادرة تظهر بأن الجهة المهددة كانت مهتمةً بجمع بيانات وحسابات التفويض السرية من السيرفر المستهدف باستخدام أداة ميميكاتز Mimikatz. كما رصدنا استخدام الجهة المهاجمة لبرمجية "ويبشيل" الخبيثة ثنائية الوظيفة لتتحرك بشكل جانبي على طول الشبكة من خلال نسخ نفسها وغيرها من برمجيات "ويبشيل" الخبيثة ونشرها في السيرفرات الأخرى. وامتازت برمجية "ويبشيل" الخبيثة ثنائية الوظيفة بمنهجية فعالة مكونة من طبقتين، ما جعل من الصعوبة بمكان اكتشافها. وبفضل الطبقات المتعددة، وتضمين محتوى الموقع الالكتروني الشرعي (المرخص له) الذي يتم عرضه بشكل صحيح ضمن المتصفح، فإن الجهة التي أطلقت هذه البرمجية باتت تتمتع بفترات وصول طويلة إلى الشبكة دون الكشف عنها، وهو ما اتضح بجلاء من خلال قدرتها على الوصول إلى النظام المستهدف، والتلاعب به، لما يقرب من عام كامل. واستنادا إلى الأوامر الصادرة للبرمجية ثنائية الوظيفة، فقد استخدمت الجهات المهددة برمجية "ويبشيل" هذه بهدف تقديم كافة المتغيرات الضرورية لأداة ميميكاتز Mimikatz كي تتمكن من جمع كلمات سر الدخول إلى الحسابات المسجلة. كما استخدمت الجهة المهددة البرمجية ثنائية الوظيفة بهدف التحرك أفقياً عن طريق نسخ برمجيات "ويبشيل" الخبيثة، ونشرها عن بعد ضمن الأنظمة أخرى المرتبطة بالشبكة. وعلى جانب آخر اكتشف خبراء شركة “بالو ألتو نتوركس” برمجية خبيثة متقدمة تعمل على نظام التشغيل أندرويد، أطلقوا عليها اسم “سباي ديلر” SpyDealer، تقوم بتسريب البيانات الخاصة من أكثر من 40 تطبيقًا، وتسرق الرسائل المهمة، والحساسة من تطبيقات التواصل الاجتماعي، والاتصالات، وتنشط عن طريق إساءة استخدام ميزة خدمة الوصول في نظام التشغيل أندرويد
وأوضحت الشركة أن برمجية “SpyDealer” الخبيثة، تستعين بمسارات أحد التطبيقات التجارية الرئيسية، وذلك بهدف الحصول على صلاحيات رئيسية تتيح لها سرقة البيانات في وقت لاحق، وأضافت أن البرمجية الخبيثة “SpyDealer” تمتلك العديد من القدرات، بما فيها إمكانية تسريب البيانات الخاصة من أكثر من 40 تطبيقاً شهيراً، بما فيها وي شات، وفيسبوك، وواتساب، وسكايب، ولاين، وفايبر، وكيو كيو، وتانجو، وتيليغرام، وسيناويبو، وتينسنت ويبو، ومتصفح أندرويد الأساسي، ومتصفح فايرفوكس، ومتصفح أوبنغ، وكيوكيو ميل، ونيت إيس ميل، وتاوباو، وبايدو نيت ديسك. ويمكن للبرمجية الخبيثة أيضًا، إساءة استخدام ميزة خدمة الوصول في نظام التشغيل أندرويد لسرقة الرسائل المهمة، والحساسة من تطبيقات التواصل الاجتماعي والاتصالات الرائجة، مثل وي شات، وسكايب، وفايب، وكيو كيو. وإضافة إلى إمكانية الاستحواذ على قائمة واسعة وشاملة من المعلومات الشخصية، بما فيها رقم الهاتف، رقم التعريف الدولي لمعدات الهاتف المحمولة “IMEI”، ورقم التعريف الدولي لاشتراكات الهاتف المحمول “IMSI”، والرسائل النصية القصيرة، وخدمة الرسائل المتعددة الوسائط، وجهات الاتصال، والحسابات، وتاريخ المكالمات الهاتفية، والموقع، ومعلومات شبكة الواي فاي المتصلة.