انتشار برمجيات خبيثة بامتداد .SCR بواسطة منصة Steam
خبراء أمنيين قاموا بتحذير مستخدمين Steam بوجود برمجيات خبيثة تم نشرها بواسطة مجموعة من القراصنة على منصة Steam وهي منصة تسلية، بها العديد من الألعاب والبرامج والدردشة وبها أكثر من 75 مليون مستخدم، ونشرت بالتحديد على خدمة الدردشة.
هناك العديد من المواضيع على المنتدى الرسمي للمنصة تناقش هذه المشكلة بالتحديد، تم إرسال تقرير للمستخدمين مفاده “مظهر الصور والملفات الموثوق منها” التي يستطيع المستخدم أن يفتحا باطمئنان، وقد قام مجموعة باحثين أمنيين من مركز Malwarebytes بتحليل الهجوم، ووجدوا أن هناك طرق مختلفة يتم من خلالها التحايل على المستخدم من قبل القراصنة لإقناعه بعمل تحميل للملف، حيث يقوم القراصنة باستخدام رسالة بسيطة كـ “Look at my photo”.
وهنا يجب ألا ننسى الدور الكبير الذي يقوم به موقع Bit.ly في عملية إخفاء روابط الملفات الخبيثة، حيث الروابط تشير إلى صفحة Google Drive ولكنها في الواقع تحمل ملف بامتداد .SCR على سبيل المثال “IMG_211102014_17274511.scr”.
نلاحظ عادة أن تطبيق استعراض الملفات الخاص بـ Google drive، بعد سيقوم بالسماح لك بتحميل الملف الذي ذكرناه بامتداد SCR في هذه الحالة يتم إضافة هذه القمية ‘&confirm=no_antivirus’ إلى الرابط، مما يعني ذلك انبثاق نافذة تسألك عن إذا كنت تريد أن تحمل الملف أو تقوم بتشغيله، وفي الغالب يتم حفظها وتشغيلها أوتوماتيكياً.
كما صرح الباحثون أن ملف .SCR يكون في صورة فتاه شابة 😀 وذلك كنوع من أنواع جذب المستخدم، وعندما يتم الضغط عليه ينفذ تلقائياً، ويقوم بسرقة حساب الـ Steam ثم نشر نفسه على الحساب.
وأكد الباحثون أن هذا الملف لا يقوم برفع أي معلومات خاصة من الجهاز المصاب إلى السيرفر، وتم تصنيفه كـ Trojan.Inject من قبل 37 برنامج مضاد للفيروسات، وقالوا أنه عند حدوث الإصابة لجهاز الكمبيوتر فإن المستخدم إذا توجه لمدير المهام سيجد أن هناك عملية تم تشغيلها تحمل اسم “temp.exe,” “wrrrrrrrrrrrr.exe,” “vv.exe” أو أي اسم عشوائي كـ “340943.exe”. وأخيراً ينصح الخبراء مستخدمي هذا المنصة بفحص أجهزة الحاسب الخاصة بهم والقيام بتنظيفها.