تستخدم حملة البرامج الضارة الجديدة برامج متشققة لنشر Lumma و ACR Stealer
يحذر باحثو الأمن السيبراني من حملة جديدة تعزز إصدارات متشققة من البرمجيات كإغراء لتوزيع سرقة المعلومات مثل Lumma و ACR Stealer.
قال مركز ANNLAB Security Intelligence Center (ASEC) إنه لاحظ ارتفاعًا في حجم توزيع سرقة ACR منذ يناير 2025.
أحد الجوانب الملحوظة للبرامج الضارة للسرقة هو استخدام تقنية تسمى حلول قطرة ميت لاستخراج خادم الأوامر والسيطرة الفعلية (C2). ويشمل ذلك الاعتماد على الخدمات المشروعة مثل Steam و Telegram’s Telegraph و Google Forms و Google Slides.
“الجهات الفاعلة التهديد تدخل مجال C2 الفعلي في BASE64 الترميز على صفحة محددة” ، ASEC قال. “تصل البرامج الضارة إلى هذه الصفحة ، وتخلق السلسلة ، وتحصل على عنوان مجال C2 الفعلي لأداء سلوكيات ضارة.”
ACR Stealer ، الذي تم توزيعه مسبقًا عبر برامج Hijack Loader Malware ، قادر على حصاد مجموعة واسعة من المعلومات من الأنظمة المعرضة للخطر ، بما في ذلك الملفات وبيانات متصفح الويب وملحقات محفظة العملة المشفرة.
يأتي التطوير في الوقت الذي كشفت فيه ASEC عن حملة أخرى تستخدم ملفات مع امتداد “MSC” ، والتي يمكن تنفيذها بواسطة Microsoft Management Console (MMC) ، لتسليم البرامج الضارة Rhadamanthys Stealer.
“هناك نوعان من البرامج الضارة MSC: واحد يستغل ضعف APDS.DLL (CVE-2024-43572) ، والآخر ينفذ الأمر” الأمر “باستخدام Console Taskpad” ، الشركة الكورية الجنوبية قال.
“يتم إخفاء ملف MSC كمستند MS Word.” عند النقر فوق الزر “فتح” ، يقوم بتنزيل وتنفيذ برنامج نصي PowerShell من مصدر خارجي. يحتوي البرنامج النصي الذي تم تنزيله على ملف exe (Rhadamanthys). “
تم توثيق CVE-2024-43572 ، الذي يطلق عليه أيضًا Grimresource ، لأول مرة من قبل مختبرات الأمن المرنة في يونيو 2024 على أنه تم استغلالها من قبل الممثلين الضارين في يوم صفر. تم تصحيحه بواسطة Microsoft في أكتوبر 2024.
كانت حملات البرامج الضارة أيضًا لاحظ استغلال منصات دعم الدردشة مثل Zendesk ، تتنكر كعملاء لخداع وكلاء الدعم المطمئنين إلى تنزيل سرقة تسمى Zhong Stealer.
وفقًا لتقرير حديث نشرته Hudson Rock ، أصيب أكثر من 30،000،000 جهاز كمبيوتر بسرقة المعلومات في “السنوات القليلة الماضية” ، مما يؤدي إلى سرقة بيانات اعتماد الشركات وملفات تعريف الارتباط التي يمكن بيعها بواسطة Cybercriminals في المنتديات تحت الأرض إلى ممثلين آخرين من أجل الربح.
يمكن للمشترين أن يقوموا بسلاح الوصول الذي توفره بيانات الاعتماد هذه إلى تصرفات ما بعد الاستغلال الخاصة بهم ، مما يؤدي إلى مخاطر شديدة. تعمل هذه التطورات على تسليط الضوء على الدور الذي تلعبه البرامج الضارة Stealer كمتجه أولي للوصول الذي يوفر موطئ قدم لبيئات الشركات الحساسة.
“مقابل أقل من 10 دولارات لكل سجل (كمبيوتر) ، يمكن للمجرمين الإلكترونية شراء بيانات مسروقة من الموظفين العاملين في القطاعات الدفاعية والعسكرية المصنفة” ، هدسون روك قال. “إن Infostealer Intelligence لا يتعلق فقط باكتشاف من المصاب-بل يتعلق بفهم الشبكة الكاملة لبيانات الاعتماد المعرضة للخطر ومخاطر الطرف الثالث.”
على مدار العام الماضي ، قام ممثلو التهديد أيضًا بتكثيف الجهود المبذولة لنشر مجموعة متنوعة من العائلات الخبيثة ، بما في ذلك السارقات وأحصنة طروادة عن بُعد (الفئران) ، من خلال تقنية تسمى ClickFix التي تستلزم في كثير من الأحيان إعادة توجيه المستخدمين إلى صفحات التحقق من Captcha المزيفة التي توجههم للنسخ للنسخ وتنفيذ أوامر PowerShell الشائنة.
إحدى هذه الحمولة التي تم إسقاطها هي I2PRAT ، التي توظف شبكة عدم الكشف عن هويتها I2P لإخفاء هوية خادم C2 النهائي.
“البرامج الضارة هي تهديد متقدم يتكون من طبقات متعددة ، كل منها يتضمن آليات متطورة” ، سيكويا قال. “إن استخدام شبكة عدم الكشف عن هويته يعقد التتبع ويعيق تحديد حجم التهديد وانتشاره في البرية.”
إرسال التعليق