أعلنت جهات تهديد عن برامج خبيثة قاتلة على الإنترنت المظلم، مدعيةً قدرتها على تجاوز برامج مكافحة الفيروسات وأنظمة الكشف والاستجابة لنقاط النهاية (EDR).

 

 

بدأ مُهاجم خبيث يُعرف باسم AGhl بالترويج لأداة تُدعى NKer، مُصممة لتعطيل برامج مكافحة الفيروسات وأدوات الكشف عن نقاط النهاية خلسةً.

نُشرت الأداة في منتدى سريّ يجتمع فيه المجرمون لبيع وشراء خدمات القرصنة. ووفقًا للإعلان، يُمكن لـ NKer مساعدة المُهاجمين على تجنّب الكشف أثناء تشغيل برامجهم الخبيثة على أجهزة الكمبيوتر المُصابة. 

يمثل ظهور برنامج NKer الخبيث تحديًا كبيرًا للمؤسسات التي تعتمد على أدوات الأمان التقليدية.

يزعم المهاجمون أن هذه الأداة قادرة على اختراق العديد من حلول الأمان الشائعة، بما في ذلك Microsoft Defender وESET وKaspersky وBfender وT M.

والأمر الأكثر إثارة للقلق هو الادعاء بقدرتها على تجاوز حلول EDR المؤسسية عند تشغيلها في أوضاع هجومية. قدرة البرنامج الخبيث على البقاء مخفيًا من خلال آليات استمرارية التشغيل المبكر، مما يجعل اكتشافه وإزالته بعد تفعيله أمرًا بالغ الصعوبة على فرق الأمان.

أن NKier يعمل بنظام تسعير معياري، حيث تبلغ تكلفة الوظائف الأساسية 500 دولار، بينما تبلغ تكلفة الميزات الإضافية، مثل إمكانية الوصول إلى الثغرات الأمنية وتجاوز التحكم في حساب المستخدم (UAC)، 300 دولار إضافية لكل منها. 

يشير نموذج التسعير هذا إلى أن الأداة قد تم تطويرها خصيصًا للبيع التجاري في أوساط مجرمي الإنترنت.

تتجاوز قدرات الأداة المزعومة مجرد إنهاء العمليات، لتشمل دعم تقنيات التهرب المتقدمة مثل تعطيل HVCI، والتلاعب بـ VBS، وتجاوز سلامة الذاكرة.

القدرات التقنية

تجعل القدرات التقنية المنسوبة إلى NKer منه أداةً بالغة الخطورة في أيدي المهاجمين المحترفين. 

 تعتمد آلية استمرار عمل الأداة عند بدء التشغيل المبكر على تثبيت نفسها أثناء بدء تشغيل النظام، قبل أن تُفعّل العديد من أنظمة مراقبة الأمان بشكل كامل.

تتيح هذه الميزة الزمنية للبرامج الضارة التنفيذ في بيئة يكون فيها الكشف عنها محدودًا للغاية.

 بالإضافة إلى ذلك، تمنع آليات الحماية من التصحيح والتحليل الباحثين والأدوات الآلية من فحص سلوك البرمجيات الخبيثة، مما يخلق فجوة معرفية كبيرة حول قدراتها الحقيقية مقارنةً بادعاءاتها التسويقية.

يمثل خيار تجاوز التحكم في حساب المستخدم (UAC) الصامت ميزة تقنية بالغة الأهمية. إذ يسمح هذا الخيار للبرمجيات الخبيثة بالحصول على صلاحيات نظام موسعة دون ظهور تنبيهات ويندوز القياسية التي قد تنبه المستخدمين إلى أي نشاط مشبوه.

وبالاقتران مع وظائف الروتكيت، يستطيع المهاجمون الحفاظ على وصول دائم إلى الأنظمة المخترقة مع البقاء غير مرئيين لأنظمة المراقبة الأمنية القياسية.

من المهم الإشارة إلى أن هذه القدرات لم يتم التحقق منها بشكل مستقل من قبل باحثين من جهات خارجية، ولا تزال فعالية NKer الفعلية غير واضحة.

ينبغي على المؤسسات توخي الحذر والتأكد من أن أدواتها الأمنية تتضمن قدرات كشف سلوكي تتجاوز مجرد تحديد الهوية بناءً على التوقيعات، وذلك لمواجهة هذه التهديدات الناشئة.