بلو كوت تنجح في كشف هجوم جديد لبرنامج زائف مقاوم للفيروسات عبر إعلانات الويب

أعلنت شركة بلو كوت سيستمز، المزود الرائد لحلول تأمين الويب وتهيئة شبكات البيانات، اليوم أن معامل الحماية بالشركة نجحت في تحديد نسخة جديدة من هجمات برنامج زائف لمقاومة الفيروسات يستخدم إعلانات الويب في نقل المستخدمين إلى شبكة Shnakule، التي تعد في الوقت الحالي من أكبر شبكات توزيع البرامج الخبيثة وأكثرها فعالية على الإنترنت. وقد اكتشفت خدمة Blue Coat WebPulse أكواد مقاوم الفيروسات الزائف ونجحت في إيقافها وحجبها تلقائيا، لتحمي 75 مليون عميل حول العالم من أضرارها.

تصل أسماء وعناوين النطاقات المضيفة التي تستخدمها شبكة Shnakule في المتوسط إلى 2000 اسم فريد في اليوم، وتصل أحيانا إلى 4357 عنوان في اليوم الواحد. وتسجل خدمة WebPulse يوميا في المتوسط أكثر من 21 ألف طلب دخول في هذه الشبكة اليت كانت نشطة للغاية بهجمات مقاومة الفيروسات الزائف التي تتم عادة من خلال تسميم محركات البحث. وفي هذه الهجمات الأخيرة، تستخدم الشبكة الإعلانات الخبيثة في تنفيذ هجماتها. حددت خدمة Blue Coat WebPulse حتى الآن أكثر من 15 ألف طلب مرتبطة بأحدث أشكال الهجوم.

يستخدم الهجوم الأخير الذي شنته شبكة Shnakule إعلانات الويب الخبيثة على ثلاث مراحل: ففي المرحلة الأولى، يجري إعداد الخوادم الإعلانية الخبيثة ككيانات مستقلة ليست مرتبطة بصورة مباشرة ببعضها البعض أو أي شبكات فرعية حالية لشبكة Shnakule، وذلك لتوجيه المستخدمين للبرامج الخبيثة. وفي المرحلة الثانية تنقل الشبكة الفرعية الجديدة المستخدمين إلى البرنامج الخبيث، وفي المرحلة النهائية، تحدث الإصابة بكود البرنامج الخبيث الذي يتغير بصورة متكررة حتى لا تكتشفه برامج مقاومة الفيروسات. ويأتي كود البرنامج الخبيث من خوادم كشفتها خدمة WebPulse بالفعل وحددت علاقتها الوثيقة بشبكة توزيع البرامج الخبيثة Shnakule، وبسبب قدرتها على اختراق هذه الشبكة، حجبت خدمة بلو كوت WebPulse كود البرنامج الخبيث بالفعل قبل إطلاق الهجوم.

وصرح نايجل هوثورن، نائب رئيس الشركة للتسويق في أوروبا والشرق الأوسط وأفريقيا بشركة بلو كوت سيستمز، قائلا: "رغم أن هذه الهجمات بدأت في نهاية يونيو، لكنها ما زالت مستمرة، وفي آخر فحص قامت به معامل الحماية بشركة بلو كوت على كود الفيروس، لم يكتشف هذا الكود ويميزه على أنه يخص فيروس سوى برنامجان فقط من 43 برنامج مقاوم للفيروسات". واستطرد قائلا: "تتغير البرامج الخبيثة المعتمدة على الويب بسرعة هائلة هذه الأيام، ولهذا تعجز برامج الحماية التقليدية وحيدة الطبقة عن توفير الحماية اللازمة أو مواكبة هذه التغييرات. ولن يجدي أي دفاع مع هذا النوع من الهجمات نفعا سوى ما توفره خدمة WebPulse التي يمكنها ربط الأدلة وتحديد الشبكة المسؤولة وحجبها، بغض النظر عن كيفية تشفير كود الفيروس".

في الهجوم الحالي، لم تظهر الخوادم الإعلانية الخبيثة بالاسم في الصفحات التي تستضيف هذه الإعلانات، مما يؤكد أن المواقع الشرعية التي أصيبت بهذه البرامج لا تستخدم خوادم الإعلانات بصورة مباشرة، وقد تم  إعداد الخوادم الإعلانية الخبيثة لدى شركات تسجيل مختلفة قبل إطلاق الهجوم بشهر واحد على الأقل، وهي فترة طويلة لإقناع شركات إعلانات الويب بأنها تستضيف إعلانات قانونية.

خدمة بلو كوت WebPulse من خدمات الدفاع الجماعي والتعاوني التي تقدم الحماية الاستباقية من التهديدات لنحو 75 مليون مستخدم حول العالم. وتتمتع الخدمة التي تتلقى 3 ملايين طلب في الأسبوع برؤية شاملة لأنشطة المستخدمين على الويب. ومن خلال ربط الأفخاخ الديناميكية بعمليات نقل المستخدمين وأكواد البرامج الخبيثة، نجحت شركة بلو كوت في تحديد ومنع شبكات توزيع البرامج من الوصول لعملائها وحمايتهم من هجمات المستقبل.