يستخدم Maze Ransomware برنامج VirtualBox Windows 7 لتشفير الأنظمة

-Maze-Ransomware-برنامج-VirtualBox-Windows-7-لتشفير-الأنظمة.png


يستخدم Maze Ransomware برنامج VirtualBox Windows 7 لتشفير الأنظمة
يستخدم Maze Ransomware برنامج VirtualBox Windows 7 لتشفير الأنظمة

الباحثون في مختبرات سوفوس اكتشف أن مجموعة Maze ransomware تطورت باستخدام التقنية القديمة لتشفير الأنظمة باستخدام امتداد فيرتثلبوكس. تم استخدام هذه الطريقة سابقًا بواسطة مجموعة Ragnar Locker ، والتي استخدمت Windows XP VirtualBox. تعمل هذه التقنية عن طريق تحميل الملفات الضارة للمهاجم باستخدام برامج افتراضية لا يتوفر لها برنامج مكافحة فيروسات لاكتشاف التعليمات البرمجية الضارة.

تقنية قديمة لكنها فعالة

مع تحسن اكتشاف برامج مكافحة الفيروسات ، تتطور الجهات الفاعلة في التهديد أيضًا ، حيث تقدم تقنيات جديدة لتجنب الاكتشاف. إحدى الطرق الذكية المستخدمة مؤخرًا من قبل الجهات الخبيثة هي مجموعة Ragnar Locker ، التي استخدمت VirtualBox Windows XP لاختراق النظام وتشفيره. مجموعة Maze ، وهي أيضًا اسم مهم في مساحة برامج الفدية ، لم تشارك هذا.

مثل مستكشفي سوفوس تم العثور كجزء من عملية الاستجابة للحوادث لأحد عملائها ، تستخدم مجموعة Maze ransomware VirtualBox Windows 7 لتشفير الأنظمة. قالوا إن الهجومين الأولين صدوهما التقاط X برنامج يستخدم العديد من حيل المهام المجدولة ، مثل “Google Chrome Security Update” و “Windows Update Security” و “Windows Update Security Patches”.

بينما لم تنجح هاتان المحاولتان من قبل مجموعة Maze ، فقد حققوا ذلك في المسار الثالث من خلال نشر ملف MSI يقوم بتثبيت جهاز ظاهري Windows 7 مخصص إلى جانب برنامج VirtualBox VM. بالإضافة إلى ذلك ، ملف دفعي يسمى “startup_vrun.batسيتم أيضًا تحميله في البيئة الافتراضية. نظرًا لأن هذه المحاكاة الافتراضية تعمل مثل الأقراص الحقيقية في المشاركات ، يمكن للمهاجمين محاولة اختطافها وتكرار النظام الفعلي.

الملف الدفعي startup_vrun.bat
الملف الدفعي startup_vrun.bat

أيضًا ، تتمثل الميزة الكبيرة لاستخدام برامج المحاكاة الافتراضية مثل VirtualBox في تجنب برامج مكافحة الفيروسات. يعني عدم القيام بذلك أن جميع البرامج الضارة يمكن أن تتدفق بحرية دون أن يتم اكتشافها. لذلك ، قامت Maze Group بإغلاق النظام بعد نشر Windows 7 VirtualBox ، والذي يقوم عند إعادة التشغيل بتشغيل برنامج نصي ضار لتشفير الجهاز.

أخبار شعبية أخرى: – أخبار

scroll to top