مصرس : «بالو ألتو نتوركس» تكشف تفاصيل برمجية الفدية الخبيثة

227 ضحية في كارثة منجم جديدة تهز الكونغو الديمقراطية "البنتاجون" يوافق على صفقة "باتريوت" إلى السعودية بقيمة 9 مليارات دولار مجلس الشيوخ يوافق على حزمة تمويل مع قرب إغلاق جزئي للحكومة الأمريكية أيمن أشرف يعلن اعتزاله اللعب ترامب يرشح كيفين وورش لرئاسة مجلس الاحتياطي الفيدرالي زاخاروفا: مباحثات بوتين والشرع ركزت على الدعم الروسى لسوريا مصرع طفل سقطت عليه عارضة مرمى داخل نادى في طنطا «معرض الكتاب».. حضور واسع للجيل الجديد عالم الفيزياء الأمريكي سيمون أندرياس: الأهرامات بُنيت بالعلم.. لا بالفضائيين| حوار حكم حضور «الحائض» عقد قران في المسجد «صوت لا يُسمع».. الصم وضعاف السمع بين تحديات التعليم والعمل وغياب الدعم موقف الأهلي بعد اعتذار إمام عاشور.. وحقيقة تخفيض العقوبة بابا وبطريرك الإسكندرية وسائر إفريقيا يزور رئيس جمهورية بنما عميد طب طنطا يستقبل وفد لجنة الاعتماد بالمجلس العربي للاختصاصات الصحية قائمة متنوعة من الأطباق.. أفضل وجبات الإفطار بشهر رمضان مصدر من الاتحاد السكندري ل في الجول: حدثت إنفراجة في صفقة مابولولو.. والتوقيع خلال ساعات هادي رياض: حققت حلم الطفولة بالانضمام للأهلي.. ورفضت التفكير في أي عروض أخرى إعارة 6 أشهر.. بيراميدز يستهدف توفيق محمد من بتروجت الخارجية الأمريكية توافق على صفقة محتملة لبيع طائرات أباتشي لإسرائيل مقابل 3.8 مليار دولار تصفية عنصر إجرامي أطلق النيران على أمين شرطة بالفيوم فيديوهات ورقص وألفاظ خارجة.. ضبط صانعة محتوى بتهمة الإساءة للقيم المجتمعية مصرع أكثر من 200 شخص في انهيار منجم بالكونجو الديمقراطية الحكومة تحسم الجدل: لا استيراد لتمور إسرائيلية ومصر تعتمد على إنتاجها المحلي أطباء مؤسسة مجدي يعقوب يكشفون أسرار التميز: ابتكارات جراحية عالمية تنطلق من أسوان الشركة المتحدة تعرض 22 برومو لمسلسلات دراما رمضان 2026 خلال حفلها عاجل- معرض القاهرة الدولي للكتاب يسجل رقمًا قياسيًا بتجاوز 4.5 مليون زائر خلال تسعة أيام كتاب المسلماني «قريبا من التاريخ» يحتل المركز الأول على تويتر تراجع الذهب والفضة بعد تسمية ترامب مرشحا لرئاسة الاحتياطي الفيدرالي آدم وطني ينتقد تصرف إمام عاشور: ما حدث يضرب مستقبله الاحترافي شوبير يكشف تفاصيل العرض العراقي لضم نجم الأهلي مجلس الوزراء يستعرض أبرز أنشطة رئيس الحكومة خلال الأسبوع الجاري مجدي يعقوب: الطب يحتاج إلى سيدات أكثر ولابد من منحهن فرصة أكبر لانس يتخطى لوهافر بصعوبة ويتصدر الدوري الفرنسي مؤقتا نفحات صيفية ورياح، تفاصيل حالة الطقس اليوم السبت نحن القوة الأكثر فتكا، الجيش الأمريكي يحذر إيران بشأن مناورات الأحد بمضيق هرمز اليوم، انطلاق المرحلة الثانية من انتخابات النقابات الفرعية للمحامين أجندة فعاليات اليوم العاشر من معرض الكتاب 2026 الجوع في البرد يخدعك، كيف يسبب الشتاء زيادة الوزن رغم ارتفاع معدلات الحرق؟ ضبط عاطل بحوزته مواد مخدرة خلال حملة أمنية بمنطقة المنشية ببنها ضبط تشكيل عصابي تخصص في النصب والاستيلاء على أراضي المواطنين بالقليوبية حملة مرورية لضبط الدراجات النارية المسببة للضوضاء في الإسكندرية زيلينسكي: روسيا تغيّر تكتيكاتها وتستهدف البنية اللوجستية بدل منشآت الطاقة مصرع شاب وإصابة 3 آخرين في تصادم دراجتين ناريتين أثناء سباق بالقليوبية أمسية شعرية تحتفي بالإبداع والتنوع بمعرض القاهرة الدولي للكتاب هبوط الذهب عالميًا يضغط على السوق المصرى.. الجنيه الذهب عند 54 ألف جنيه وزارة «الزراعة»: تحصين 1.7 مليون رأس ماشية ضد «الحمى القلاعية» محافظ القاهرة يتابع إزالة كوبري السيدة عائشة ويكشف محور صلاح سالم البديل السيد البدوي يتوج برئاسة حزب الوفد بفارق ضئيل عن منافسه هاني سري الدين فرحة فى الأقصر بافتتاح مسجدين بالأقصر بعد تطويرهما السيسي يكشف الهدف من زيارة الأكاديمية العسكرية الحكومة تكشف حقيقة ما تم تداوله بشأن استيراد مصر للتمور الإسرائيلية رسالة سلام.. المتسابقون ببورسعيد الدولية يطربون أهالي بورسعيد والسفن العابرة للقناة بمدح الرسول حكم صلاة الفجر بعد الاستيقاظ متأخرًا بسبب العمل.. دار الإفتاء توضح الفرق بين الأداء والقضاء الذهب يتراجع لكنه يتجه لأفضل مكاسب شهرية منذ 1980 مواقيت الصلاه اليوم الجمعه 30يناير 2026 فى محافظة المنيا القومي للأشخاص ذوي الإعاقة ينظم عددًا من الفعاليات الفنية الأوقاف توضح أفضل الأدعية والذكر المستجاب في ليلة النصف من شعبان متحدث الحكومة: التموين توزع 2.5 مليون كرتونة وحقيبة رمضانية بالتعاون مع المجتمع المدني

شكرا على الإبلاغ!

سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.

«بالو ألتو نتوركس» تكشف تفاصيل برمجية الفدية الخبيثة

رضا على نشر في فيتو يوم 09 - 05 - 2017

شهد العالم في 11 من أبريل 2017 حملة جديدة من رسائل البريد المزعجة والخبيثة، التي استعانت برسائل البريد الإلكتروني تحمل عنوان الخدمة البريدية في الولايات المتحدة (USPS).
وقامت بإعادة توجيه رسائل تحتوي على روابط إلى مواقع ميكروسوفت وورد وهمية على الإنترنت، ومن ثم طلبت مواقع الوورد الوهمية هذه من الضحايا تثبيت البرمجية الخبيثة والمخفية على أنها أحد الأضافات الخاصة بحزمة ميكروسوفت أوفيس.
وظهر خلال هذه الحملة برمجية الفدية الخبيثة والجديدة مول Mole، وذلك لأن أسماء الملفات المشفرة من قبل برمجية الفدية الخبيثة هذه تنتهي باللاحقة.Mole، ويبدو أن Mole تشكل جزءًا من عائلة برمجيات الفدية الخبيثة كريبتوميكس CryptoMix، وذلك لكونها تشترك بالعديد من الخصائص مع المتغيرين Revenge وCryptoShield من عائلة كريبتوميكس CryptoMix.
لكن هذه الحملة سرعان ما قامت بتغيير أسلوبها وزيادة مستوى التعقيد، فبعد مرور يومين، أي في 13 من أبريل 2017، قام المهاجمون الذين يقفون وراء أضافات أوفيس الوهمية بتغيير أسلوبهم من خلال طرح برمجية خبيثة إضافية.
فإلى جانب التعرض إلى برمجية الفدية الخبيثة مول Mole، سيصاب الضحايا بالبرمجيتين الخبيثتين كوفتر Kovter وميورف Miuref.
وفي اليوم التالي، أي في 14 من أبريل 2017، توقف المهاجمون عن استخدام روابط معاد توجيهها ضمن رسائل البريد المزعجة والخبيثة، وعوضًا عن ذلك قاموا بربطها مباشرةً إلى موقع وورد وهمي عبر الإنترنت.
ويبين الشكل رقم (1) الأسلوب المتغير الذي اتبعه المهاجمين بدءًا من يوم الثلاثاء، 11 أبريل 2017، حتى يوم الجمعة 14 أبريل 2017.
وتميل معظم حملات رسائل البريد المزعجة والخبيثة الواسعة النطاق إلى التمسك بأنماط تشغيل يسهل التعرف عليها وتعقبها، وقد قامت هذه الحملة بالذات بالتطور بسرعة أكبر مما نشهده عادةً، ومن المرجح أنهم اتبعوا هذا الأسلوب المتغير من أجل تجنب اكتشافهم.
وتستمر هذه الحملة بالتطور والانتشار، فبحلول يوم الثلاثاء ال 18 أبريل 2017، توقفت عن نشر ببرمجية الفدية الخبيثة مول Mole، وبدأت بإقحام البرمجية الخبيثة KINS banking Trojan مع كل من كوفتر Kovter وميورف Miuref.
وبقدوم يوم الجمعة، 21 من أبريل 2017، انتقلت هذه الحملة من رسائل البريد الإلكتروني المرتبطة بالخدمة البريدية في الولايات المتحدة (USPS)، إلى رسائل مخالفات السرعة الزائدة، حيث بدأت باستخدام موقع خدمات وهمي لإيقاف السيارات.
لكن لماذا توقفنا عن رصد برمجية الفدية الخبيثة مول Mole؟ السبب بسيط، لأن عائلات برمجيات الفدية الخبيثة تتغير باستمرار، حيث من النادر بقاء متغيرات كريبتوميكس CryptoMix قيد الاستخدام لأكثر من بضعة أسابيع، وذلك قبيل إعادة حزمها ونشرها كصيغة متغيرة جديدة.
كما أن عينات برمجية الفدية الخبيثة مول Mole التي قمنا بتحديدها حتى الآن مرتبطة ببرمجية أوتوفوكس AutoFocus باستخدام التاغ MoleRansomware.
وستواصل شركة بالو ألتو نتووركس التحقيق والكشف عن هذا النشاط من أجل المؤشرات القابلة للتطبيق، ولإعلام المجتمع، ولتعزيز منصة الوقاية من التهديدات التي لدينا.

انقر هنا لقراءة الخبر من مصدره.