حذر باحثو الأمن السيبراني من حملة خبيثة تستغل الشعبية المتصاعدة لأداة البرمجة غوغل "Antigravity"، عبر مواقع مزيفة تقدم برنامج تثبيت يبدو شرعياً بالكامل، لكنه يخفي برمجية تجسس قادرة على سرقة الحسابات والبيانات خلال دقائق، من دون أن يلاحظ المستخدم أي شيء غير طبيعي.

وبحسب التحليل الأمني، تنتحل الحملة موقع الأداة الرسمي عبر نطاقات مزيفة شبيهة، مثل "google-antigravity[.]com" بدلاً من الموقع الحقيقي "antigravity.google"، تدفع الضحايا لتنزيل ملف يبدو طبيعياً باسم "Antigravity_v1.22.2.0.exe" بحجم 138 ميغابايت، وهو في الواقع يحتوي النسخة الأصلية من البرنامج، لكن مع تعديل خفي يسمح بتشغيل سكربت "PowerShell" ضار أثناء التثبيت.

كيف تعمل الخدعة؟ الخطورة، وفق الباحثين، أن البرنامج يعمل فعلاً كما هو متوقع، ويُثبت أداة "أنتي غرافيتي" الحقيقية بنجاح، مع ظهور اختصار على سطح المكتب وتشغيل طبيعي، بينما يجري الهجوم في الخلفية.

المُثبت الخبيث يُسقط ملفين نصيين في الجهاز، أحدهما يتصل بخادم المهاجم عبر "HTTPS" على العنوان "opus-dsn[.]com"، وآخر عبر عنوان "IP 89[.]124[.]96[.]27"، لجلب أوامر إضافية عند اختيار الضحية للهجوم.

ثلاث مراحل للهجوم وبحسب موقع "Malware bytes"، فإن المهاجم إذا قرر التصعيد، تبدأ العملية بثلاث خطوات خطيرة:

1- تعطيل الحماية: استثناء ملفات وعمليات من فحص "ويندوز ديفيندر" وتعطيل واجهة فحص البرمجيات الضارة "AMSI".

2- الزرع والتزييف: تنزيل ملف مشفّر مموّه باسم صورة "secret.png" من "captr.b-cdn[.]net"، وإنشاء مهمة مجدولة مزيفة باسم يشبه مهام تحديث.....

لقراءة المقال بالكامل، يرجى الضغط على زر "إقرأ على الموقع الرسمي" أدناه

هذا المحتوى مقدم من موقع 24 الإخباري