كشف تقرير أمني جديد عن وجود فيروس طروادة يُخفي شيفراته الخبيثة داخل ملفات الصور من نوع “بي إن جي” PNG، وكانت مؤسسات الرعاية الصحية في الولايات المتحدة من بين أهدافه الأساسية.
ويستخدم فيروس “ستيجولودر تروجان” Stegoloader Trojan، الذي ظهر أول مرة في عام 2012، وعاد للظهور على مدى الأشهر القليلة الماضية، تقنيات إخفاء المعلومات الرقمية لاختراق دفاعات الحواسيب والشبكات.
ووفقا لتقرير صدر حديثا من “ديل سيكيور وركس” Dell SecureWorks، وهي الذراع المتخصص في أمن المعلومات من شركة ديل، فقد صُمم هذا الفيروس لسرقة الملفات والمعلومات وكلمات السر من النظم المصابة، كما أن لديه وحدات إضافية لزيادة فاعليته.
وأثناء عملية العدوى بهذا الفيروس، يقوم مُكوِّن نشر مؤقت بتنزيل ملف صورة PNG من الإنترنت. ومع أن هذه الصورة تبدو واقعية، لكنها تخفي داخلها بين بكسلاتها، قطعا صغيرة من التعليمات البرمجية المشفرة التي تُستخرج وتُستخدم لإعادة بناء الوحدة الرئيسية في الفيروس.
وتمتاز هذه العملية بأنه لا يُحفظ على أقراص الحاسوب لا صورة PNG ولا وحدة الفيروس الرئيسية. ولكن بدلا من ذلك، تحدث العملية برمتها في ذاكرة الحاسوب ويجري تحميل الفيروس على الذاكرة مباشرة.
وقد أصبحت تقنية استخدام المكونات عديمة الملفات تُستخدم على نحو متزايد من قبل مطوري البرمجيات الخبيثة على مدى العامين الماضيين، بما في ذلك جماعات التجسس الإلكتروني. ما يجعل مسألة اكتشاف والتحقق من تهديدات البرمجيات الخبيثة أصعب بكثير.
ويُشار كذلك إلى أن استخدام تقنيات إخفاء المعلومات الرقمية لإخفاء الشيفرات الخبيثة ليست جديدة أيضا، ولكنها تقنية أصبحت تُستخدم على نحو متزايد. والهدف هو تجاوز فاحصات البرميجات الخبيثة الشبكية التي تتفحص المحتوى المتدفق داخل وخارج الشبكة.
ووفقا لاحصاءات صادرة عن شركة البرمجيات الأمنية، تريند مايكرو، جرى الكشف عن حالات إصابة بفيروسات إخفاء المعلومات على مدى الأشهر الثلاث الماضية في المقام الأول داخل مؤسسات قطاعات الرعاية الصحية والمالية، والصناعات التحويلية. وكان أكثر من 66% من الضحايا من الولايات المتحدة
ويعتقد باحثون في مجال الأمن من كلا من “ديل سيكيور وركس” وتريند مايكرو أن طريقة تضمين تعليمات البرمجيات الضارة داخل ملفات الصور لتجنب الكشف هو الاتجاه الناشئ، وستصبح أكثر شعبية لدى المهاجمين في المستقبل.