نطاق Perl.com، سُرق ويستخدم الآن عنوان IP مرتبطًا ببرامج ضارة

Perl.com domain stolen, now using IP address tied to malware

 

تمت سرقة اسم المجال perl.com هذا الأسبوع وهو يشير الآن إلى عنوان IP مرتبط بحملات البرامج الضارة. Perl.com هو موقع مملوك من قبل Tom Christianen ويستخدم منذ 1997 لنشر الأخبار والمقالات حول لغة برمجة Perl.

في 27 يناير، غرد Brian D Foy مؤلف برمجة Perl ومحرر Perl.com، أن نطاق perl.com قد تم تسجيله فجأة تحت اسم شخص آخر. "حسنًا، يبدو أنه كان هناك بعض snafu مع تسجيل النطاق https://t.co/cM17zmX6Km والآن تم تسجيله تحت اسم شخص آخر. إذا كنت تعرف كيفية إصلاح هذا النوع من الأشياء، فنحن نرغب في مساعدتك".

Huh, it looks like there was some snafu with the https://t.co/cM17zmX6Km domain registration and now it's registered under someone else. If you know how to fix this sort of thing, we'd like your help.

— brian d foy (@briandfoy_perl) January 27, 2021

رد محامي الملكية الفكرية John Berryhill لاحقًا على التغريدة التي تفيد بأن النطاق سُرق في سبتمبر 2020 أثناء وجوده في Network Solutions، وتم نقله إلى أمين سجل في الصين في يوم عيد الميلاد، ثم انتقل أخيرًا إلى مسجل Key-Systems في 27 يناير 2020.

لم يكن حتى آخر عملية نقل حيث تم تغيير عناوين IP المخصصة للمجال من 151.101.2.132 إلى عنوان Google Cloud IP 35.186.238 [.] 101. عند زيارة الموقع، يتم الترحيب بالمستخدمين بصفحة فارغة. يحتوي HTML للصفحة على نصوص مجال Godaddy المستضافة على الرغم من أنها مسجلة في شبكة أنظمة مفاتيح المسجل (.).

في اليوم الثامن والعشرين، قام D Foy بالتغريد بأنهم قاموا بإعداد perl.com مؤقتًا على http://perldotcom.perl.org للمستخدمين الذين يرغبون في الوصول إلى الموقع حتى يتم استرداد النطاق.

We've temporarily set up the https://t.co/cM17zmX6Km site at https://t.co/gex8ELDxVn. The site should work, the SSL cert should be fine.
There's no news on the recovery progress. Everyone who needs to be talking is talking to each other and it's just a process now.

— brian d foy (@briandfoy_perl) January 28, 2021

حتى يتم حل مشكلة اختطاف المجال، توصي perl.org المستخدمين بعدم استخدام perl.com كمرآة CPAN وتحديثها باستخدام الأمر التالي:

# perl -MCPAN -eshell
cpan shell -- CPAN exploration and modules installation (v2.20)
Enter 'h' for help.
cpan[1]> o conf urllist http://www.cpan.org/
Please use 'o conf commit' to make the config permanent!
cpan[2]> o conf commit
commit: wrote '/root/.cpan/CPAN/MyConfig.pm'

أخبر D Foy BleepingComputer أنه لا يُعتقد أن حساب مالك المجال قد تم اختراقه وأنهم يعملون حاليًا مع حلول الشبكة وأنظمة المفاتيح لحل المشكلة. "أعرف من الاتصال المباشر مع حلول الشبكة وأنظمة المفاتيح أنهم يعملون على هذا وأن نطاق perl.com مغلق. Tom Christiansen، المالك الشرعي، يمر بعملية الاسترداد مع هؤلاء المسجلين".

قال D Foy لـ BleepingComputer: "كلا المسجلين، جنبًا إلى جنب مع عدد قليل من الآخرين، اتصلوا بي شخصيًا لتقديم المساعدة والإرشاد. نحن واثقون من أننا سنكون قادرين على استعادة النطاق، لكن ليس لدي جدول زمني لذلك".

 
عنوان IP الجديد perl.com مرتبط بالبرامج الضارة
عنوان IP الذي تتم استضافته على perl.com الآن له تاريخ طويل من استخدامه في حملات البرامج الضارة القديمة والحملات الأحدث. في عام 2019، تم ربط عنوان IP 35.186.238 [.] 101 بمجال يقوم بتوزيع برنامج ضار قابل للتنفيذ [VirusTotal] لبرنامج Locky ransomware الذي تم إيقافه الآن.

في الآونة الأخيرة، يستخدم برنامج ضار [VirusTotal] يبدو أنه ناقر على الإعلانات النطاقات التالية كخوادم أوامر وتحكم (C2).

www.supernetforme[.]com
www.superwebbysearch[.]com

تم حل أسماء النطاقات هذه على 35.186.238 [.] 101، كما هو موضح أدناه.

عندما تحاول البرامج الضارة الاتصال بعناوين URL في هذه المجالات، فإنها تتلقى الآن نفس البرامج النصية للمجال المتوقف المستخدمة حاليًا عند زيارة perl.com. قد تشير استجابات HTML هذه، بدلاً من التعليمات الواردة من C2، إلى أن عنوان IP يخضع لسيطرة جهة تهديد مختلفة.

في الوقت الحالي، يُنصح بشدة بعدم زيارة perl.com حتى يعود المجال إلى مؤسسة Perl Foundation، حيث يمكن للمهاجمين بسهولة تحويله إلى موقع لأغراض أكثر ضارة.