أبلغ باحثو Kaspersky عن وظيفة تبديل DNS جديدة مستخدمة في عملية Roaming Mantis. فرس النبي التجوال (المعروف أيضًا باسم Shaoye) هو اسم حملة أو عملية للجرائم الإلكترونية لاحظتها Kaspersky لأول مرة في عام 2018. يستخدم ملفات حزمة Android الخبيثة (APK) لإدارة أجهزة Android المصابة وسرقة المعلومات السرية من الجهاز. ومن المعروف أيضًا أن لديها خيار التصيد لأجهزة iOS وميزات تعدين التشفير لأجهزة الكمبيوتر. يرجع اسم هذه الحملة إلى انتشارها عبر شبكات Wi-Fi المتجولة للهواتف الذكية ، والتي من المحتمل أن تحمل العدوى وتنشرها.
"أجهزة التوجيه العامة ووظيفة مبدل DNS الجديدة"
اكتشفت Kaspersky مؤخرًا أن Roaming Mantis يقدم وظيفة جديدة لمبدل DNS عبر البرنامج الضار للحملة Wroba.o (المعروف أيضًا باسم Agent.eq و Moqhao و XLoader). يمكننا أن نطلق على DNS changer برنامجًا ضارًا يعيد توجيه جهازك المتصل بجهاز توجيه Wi-Fi تم اختراقه إلى خادم آخر يتحكم فيه المجرم الإلكتروني بدلاً من خادم DNS شرعي. في هذا السيناريو ، يُطلب من الضحية المحتملة تنزيل برامج ضارة يمكنها التحكم في الجهاز أو سرقة بيانات الاعتماد من الصفحة المقصودة التي يصادفها.
في الوقت الحالي ، يستهدف المهاجمون وراء Roaming Mantis أجهزة التوجيه الموجودة في كوريا الجنوبية فقط والتي يتم تصنيعها بواسطة بائع معدات شبكات كورية جنوبية مشهور جدًا. في ديسمبر 2022 ، لاحظت Kaspersky 508 تنزيلًا خبيثًا لملف APK في الدولة.
كشفت دراسة للصفحات الضارة أن المهاجمين كانوا يستهدفون أيضًا مناطق أخرى باستخدام الرسائل النصية القصيرة بدلاً من مبدلات DNS. تستخدم هذه التقنية الرسائل النصية لنشر الروابط التي توجه الضحية إلى موقع تصيد احتيالي لتنزيل برامج ضارة على الجهاز أو سرقة معلومات المستخدم.
وفقًا لإحصائيات Kaspersky Security Network (KSN) لشهر سبتمبر - ديسمبر 2022 ، فإن أعلى معدل اكتشاف لبرامج Wroba.o الضارة (Trojan-Dropper.AndroidOS.Wroba.o) في فرنسا (54,4٪) واليابان (12,1٪) والولايات المتحدة الأمريكية ( 10,1٪).
قال سوجورو إيشيمارو: "عندما يتصل هاتف ذكي مصاب بأجهزة توجيه" صحية "في أماكن عامة مختلفة ، مثل المقاهي والحانات والمكتبات والفنادق ومراكز التسوق والمطارات وحتى المنازل ، يتم نقل برنامج Wroba.o الضار إلى هذا الموجه". باحث أمني أول في أجهزة Kaspersky وقد يؤثر على الأجهزة المتصلة بها. يمكن لوظيفة مغير DNS الجديدة إدارة تحديد أي جهاز تقريبًا باستخدام جهاز توجيه Wi-Fi المخترق ، مثل إعادة التوجيه إلى مضيفين ضارين وتعطيل تحديثات الأمان. "نعتقد أن هذا الاكتشاف مهم للأمن السيبراني لأجهزة Android لأنه لديه القدرة على الانتشار على نطاق واسع في المناطق المستهدفة."
لحماية اتصالك بالإنترنت من هذه العدوى ، يوصي باحثو Kaspersky بما يلي:
- تحقق من دليل جهاز التوجيه الخاص بك للتحقق من أن إعدادات DNS الخاصة بك لم يتم العبث بها ، أو اتصل بمزود خدمة الإنترنت للحصول على الدعم.
- قم بتغيير اسم المستخدم وكلمة المرور الافتراضيين المستخدمين لواجهة الويب لجهاز التوجيه الخاص بك وقم بتحديث البرنامج الثابت بانتظام من المصدر الرسمي.
- لا تقم أبدًا بتثبيت برنامج جهاز التوجيه من مصادر خارجية. تجنب استخدام متاجر الطرف الثالث لأجهزة Android أيضًا.
- أيضًا ، تحقق دائمًا من عناوين المتصفح والموقع الإلكتروني للتأكد من أنها آمنة ؛ تذكر أن تؤكد https: // اتصال آمن عندما يُطلب منك إدخال البيانات.
كن أول من يعلق