ويقول الباحثون إن هذه البرمجية كانت تعمل بسرية خلال العامين الماضيين دون أن يكتشفها أحد، وتستهدف بشكل خاص خدمات الدفع والعمليات المصرفية للشركات.
ويبدأ الهجوم بإعلانات ملوثة ببرمجية جافا لتطبيقي "بروكسو" لأخذ لقطات للشاشة، و"براوزر دفنس" لحماية متصفح الإنترنت، مع دفع هذه الإعلانات للظهور على شبكات إعلانات ضخمة، حيث تظهر على مواقع إخبارية رئيسية يشاهدها ملايين المستخدمين.
لكن كيف تمكنت هذه البرمجية من تخطي تقنية مكافحة البرامج الخبيثة التي تستخدمها شبكات الإعلانات الكبرى؟
عند تقديم الإعلان فإنه يدير شفرة جافا تمويهية تشغل اختبارا لفحص البيئة التي سيظهر فيها، فإذا كُنت تدير "آلة افتراضية" أو بيئات أخرى كالتي يستخدمها عادة باحثو الأمن، فإن الإعلان يظهر بشكل صورة ثابتة نظيفة، لكن إن تبين أن الجهاز قابل للاختراق فإن الإعلان يظهر كصورة gif متحركة تخبئ البيانات ضمن قناة "ألفا" أو "الشفافية" في الصورة.
بعد الفحص الأول يعمل فحص ثان على استخلاص وتشغيل الشفرة الخبيثة مستفيدا من ثغرة معروفة في متصفح "إنترنت إكسبلورر"، ثم تفحص البرمجية الحاسوب مرة أخرى بحثا عن آلات افتراضية أو أي منتجات أمنية أخرى هدفها رصد البرمجيات الخبيثة، كما أنها تفحص مشغلات الرسوميات والأمن للتأكد أنها تعمل على حاسوب فعلي.
ومن هنا تقوم البرمجية بتحميل فيديو بصيغة "آي فريم" وتحوله عبر ميزة اختصار الروابط "تني يو آر إل" إلى موقع استغلالي جديد يقوم بفحص وجود إنترنت إكسبلورر ويحمل ملف "فلاش" يقوم بتمرير المعلومات إلى خادم القراصنة بعد تشفيرها ليعيد الخادم إرسال شفرة تستفيد من إحدى ثغرات فلاش بحيث يتم تثبيت الحمولة النهائية على الحاسوب المستهدف.
وبعد فحص أخير للحاسوب المستهدف تبدأ عملية تفريغ الحمولة وتشغيلها؛ ومن هناك يصبح الحاسوب مخترقا ببرمجية "باب خلفي" أو "تسجيل نقرات لوحة المفاتيح" أو "صانع لقطات الشاشة" أو "صانع فيديو"، وعند هذه المرحلة يمكن للقراصنة سرقة أي ملف بحثا عن نقاط ضعف من شأنها أن تتيح لهم سرقة أو ابتزاز المال.
ولتجنب هذه البرمجية الخبيثة ينصح الخبراء بتحديث برامج الحاسوب واستخدام حلول موثوقة لأمن الإنترنت، وبعدم استخدام متصفح إنترنت إكسبلورر في المقام الأول