‏‏بالو ألتو نتوركس تحذّر المستخدمين من ‏‏تحديثات‏‏ وهمية لبرمجيات‏‏ ‏‏”‏‏أدوبي فلاش‏‏”‏‏

‏‏ويتم عادة كشف تحديثات برنامج أدوبي فلاش الوهمية التي تخفي وراءها برمجيات ضارة أخرى، فخلال السنوات الأخيرة، تم إخفاء برمجيات الاحتيال بطريقة سيئة على شكل برامج خبيثة قابلة للتنفيذ، أو برامج قابلة للتنزيل تعتمد على ملفات نصية مصممة خصيصاً لتثبيت برامج تعدين العملات الرقمية، أو برمجيات سرقة المعلومات فضلاً عن برمجيات طلب الفدية الخبيثة. وإذا ما قام أحد الضحايا من المستخدمين بتفعيل مثل هذه البرمجيات على كمبيوتر مضيف يعمل بنظام ويندوز لا يتمتع بالحماية الكافية، فلن تتم ملاحظة أي نشاط غريب، إلا إذا تمت المطالبة بفدية محددة من قبل جهة الاحتيال التي دفعت بالتحديث الوهمي.‏

‏‏لكن في الآونة الأخيرة، ظهر نوع جديد من تحديثات فلاش الوهمية يمكنها خداع المستخدم بشكل أكبر. ففي وقت مبكر من شهر أغسطس 2018، قامت العينات الوهمية التي تحاكي تحديثات فلاش الفعلية باستعارة الإشعارات المنبثقة التي يتم استخدامها عادة في أداة تثبيت برنامج أدوبي الرسمية. وتعمل تحديثات برنامج فلاش الوهمية هذه على تثبيت برامج غير مرغوب بها، مثل برنامج تعدين العمليات الرقمية ‏‎XMRig‎‏. لكن يمكن لهذه البرامج الضارة أيضاً أن تقوم بترقية برنامج أدوبي فلاش التابع للضحية إلى أحدث إصدار مما يجعله يبدو شرعياً.‏

‏‏وبسبب هذا التحديث الشرعي لبرنامج الفلاش، قد لا تلاحظ الضحية المحتملة أي نشاط خارج عن المألوف. وفي هذه الأثناء، يبدأ برنامج تعدين العملات الرقمية ‏‎XMRig‎‏ أو أي برنامج آخر غير مرغوب به، بالعمل بهدوء في خلفية نظام التشغيل ويندوز على كمبيوتر الضحية. ‏

‏‏وقد لاحظت بالو ألتو نتوركس من خلال أبحاثها على تحديثات برنامج فلاش الوهمية وجود ملفات تنفيذية لنظام ويندوز تحمل أسماءاً تبدأ دائماً بـ ‏‎AdobeFlashPlayer‎‏ وهي صادرة من جهات لاتعود بشكل أساسي لخوادم الويب القائمة على السحابة التابعة لشركة أدوبي. ودائماً ما احتوت هذه الملفات القابلة للتنزيل على النص ‏‎flashplayer_down.php?clickid‎‏= في عنوان الـ ‏‎URL‎‏ المستخدم. وقد وجدت الشركة 113 نموذجاً من البرامج الضارة التي تستوفي هذه المعايير منذ شهر مارس 2018 من خلال خدمة ‏‎AutoFocus‎‏، كما وجدت أيضاً أن 77 نموذجاً من هذه البرامج الضارة مرتبطة ببرمجية ‏‎CoinMiner‎‏، بينما تتشارك بقية البرامج البالغ عددها 36 بعلامات أخرى من البرامج الضارة الـ 77 المتعلقة ببرمجية ‏‎CoinMiner‎‏ القابلة للتنفيذ. ‏

‏‏وقد ظهرت للمستخدمين نوافذ منبثقة هي عبارة عن برنامج تثبيت أدوبي فلاش تدعو إلى تثبيت برنامج الفلاش، ومن ثم بدأ برنامج تعدين العملات الرقمية ‏‎XMRig‎‏ بالعمل في خلفية نظام الويندوز على الكمبيوتر المصاب. ويتلقى الضحايا المحتملين تحذيرات حول قيامهم بتشغيل الملفات التي تم تنزيلها على جهاز الكمبيوتر الذي يعمل بنظام التشغيل ويندوز. ‏

‏‏ويمكن القول بأن هذه الحملة تستخدم نشاطاً مشروعاً لإخفاء عمليات نشر خفية لبرامج تعدين العملات الرقمية وغيرها من البرامج الخبيثة الغير مرغوب بها. لكن بالنسبة للشركات التي تتمتع بأدوات مراقبة وتصفية متطورة للمواقع، والمستخدمين الذين يتمتعون بمستوى وعي مناسب، فإن خطر الإصابة بهذه التحديثات الوهمية يبقى أقل بكثير. ‏