قراصنة روس يستخدمون مواقع ذات علامات تجارية مزيفة لنشر برامج DanaBot وStealC الضارة
سلط باحثو الأمن السيبراني الضوء على حملة معقدة لسرقة المعلومات تنتحل شخصية العلامات التجارية المشروعة لتوزيع البرامج الضارة مثل DanaBot وStealC.
يقال إن مجموعة الأنشطة، التي ينظمها مجرمو الإنترنت الناطقون بالروسية والتي يطلق عليها مجتمعة الاسم الرمزي Tusk، تشمل عدة حملات فرعية، تستفيد من سمعة المنصات لخداع المستخدمين لتنزيل البرامج الضارة باستخدام مواقع وهمية وحسابات وسائل التواصل الاجتماعي.
“تستضيف جميع الحملات الفرعية النشطة برنامج التنزيل الأولي على Dropbox،” هذا ما قاله الباحثان في كاسبرسكي السيد الرفاعي وعبد الرحمن الفيفي. قال. “إن برنامج التنزيل هذا مسؤول عن تقديم عينات إضافية من البرامج الضارة إلى جهاز الضحية، والتي تكون في الغالب أدوات سرقة المعلومات (DanaBot وStealC) وأدوات قص الشعر.”
ومن بين الحملات الفرعية التسعة عشر التي تم تحديدها حتى الآن، يقال إن ثلاثًا منها نشطة حاليًا. يعد اسم “Tusk” إشارة إلى كلمة “Mammoth” التي يستخدمها ممثلو التهديد في رسائل السجل المرتبطة بالتنزيل الأولي. تجدر الإشارة إلى أن الماموث هو مصطلح عامي غالبًا ما تستخدمه مجموعات الجريمة الإلكترونية الروسية للإشارة إلى الضحايا.
تتميز الحملات أيضًا باستخدام أساليب التصيد الاحتيالي لخداع الضحايا للتخلي عن معلوماتهم الشخصية والمالية، والتي يتم بيعها بعد ذلك على الويب المظلم أو استخدامها للحصول على وصول غير مصرح به إلى حسابات الألعاب ومحافظ العملات المشفرة الخاصة بهم.
تحاكي أول الحملات الفرعية الثلاث، المعروفة باسم TidyMe، برنامج Peerme[.]io مع موقع مشابه مستضاف على tidyme[.]io (وكذلك tidymeapp[.]io وtidyme[.]app) الذي يطلب النقر لتنزيل برنامج ضار لكل من أنظمة Windows وmacOS والذي يتم تقديمه من Dropbox.
برنامج التنزيل هو تطبيق Electron الذي، عند تشغيله، يطالب الضحية بإدخال اختبار CAPTCHA المعروض، وبعد ذلك يتم عرض واجهة التطبيق الرئيسية، بينما يتم جلب ملفين ضارين إضافيين سرًا وتنفيذهما في الخلفية.
كلتا الحمولتين اللتين تمت ملاحظتهما في الحملة عبارة عن عناصر Hijack Loader، والتي تطلق في النهاية نسخة مختلفة من البرنامج الضار StealC الذي يسرق البيانات مع القدرة على جمع مجموعة واسعة من المعلومات.
RuneOnlineWorld (“runeonlineworld[.]io”)، وهي الحملة الفرعية الثانية، وتتضمن استخدام موقع ويب مزيف يحاكي لعبة متعددة اللاعبين عبر الإنترنت (MMO) تسمى Rise Online World لتوزيع أداة تنزيل مماثلة تمهد الطريق لـ DanaBot وStealC على المضيفين المخترقين.
يتم أيضًا توزيع برنامج ضار قائم على Go-based عبر Hijack Loader في هذه الحملة، وهو مصمم لمراقبة محتوى الحافظة وعناوين المحفظة البديلة التي نسخها الضحية بمحفظة Bitcoin التي يتحكم فيها المهاجم لإجراء معاملات احتيالية.
تقريب الحملات النشطة هو Voico، الذي ينتحل شخصية مشروع مترجم يعمل بالذكاء الاصطناعي يسمى YOUS (yous[.]ai) مع نظير خبيث يطلق عليه اسم voico[.]io من أجل نشر أداة تنزيل أولية تطلب من الضحية، عند التثبيت، ملء نموذج تسجيل يحتوي على بيانات اعتماده ثم تسجيل المعلومات على وحدة التحكم.
تُظهر الحمولات النهائية سلوكًا مشابهًا لسلوك الحملة الفرعية الثانية، والفرق الوحيد هو أن البرمجيات الخبيثة StealC المستخدمة في هذه الحالة تتواصل مع خادم قيادة وتحكم (C2) مختلف.
“الحملات […] وقال الباحثون: “يُظهر التهديد المستمر والمتطور الذي يشكله مجرمو الإنترنت الذين يتقنون محاكاة المشاريع المشروعة لخداع الضحايا”. “إن الاعتماد على تقنيات الهندسة الاجتماعية مثل التصيد الاحتيالي، إلى جانب آليات توصيل البرامج الضارة متعددة المراحل، يسلط الضوء على القدرات المتقدمة للتهديد. الجهات الفاعلة المعنية.”
“من خلال استغلال الثقة التي يضعها المستخدمون في المنصات المعروفة، ينشر هؤلاء المهاجمون بشكل فعال مجموعة من البرامج الضارة المصممة لسرقة المعلومات الحساسة واختراق الأنظمة وتحقيق مكاسب مالية في نهاية المطاف.”
إرسال التعليق