الأمن السيبراني FakeBat, الإنترنت, البحث, البرامج, الشائعة, الضارة, برامج, عمليات, عن, لنشر, مجرمو, يستغل eshrag أغسطس 19, 2024 0 تعليقات

يستغل مجرمو الإنترنت عمليات البحث عن البرامج الشائعة لنشر برامج FakeBat الضارة

19 أغسطس 2024رافي لاكشمانانالإعلانات الضارة / الجرائم الإلكترونية

اكتشف باحثو الأمن السيبراني زيادة كبيرة في إصابات البرامج الضارة الناجمة عن الحملات الإعلانية الضارة التي توزع أداة تحميل تسمى FakeBat.

“هذه الهجمات انتهازية بطبيعتها، وتستهدف المستخدمين الذين يبحثون عن برامج أعمال مشهورة،” فريق Mandiant Managed Defense قال في تقرير فني. “تستخدم العدوى برنامج تثبيت MSIX مصاب بفيروس طروادة، والذي ينفذ برنامج PowerShell النصي لتنزيل حمولة ثانوية.”

يرتبط برنامج FakeBat، المعروف أيضًا باسم EugenLoader وPaykLoader، بممثل تهديد يُدعى Eugenfest. يقوم فريق استخبارات التهديدات المملوك لشركة Google بتتبع البرامج الضارة تحت اسم NUMOZYLOD وقد أرجع عملية البرامج الضارة كخدمة (MaaS) إلى UNC4536.

تستفيد سلاسل الهجوم التي تنشر البرامج الضارة من تقنيات التنزيل من محرك الأقراص لدفع المستخدمين الذين يبحثون عن برامج شائعة نحو المواقع المشابهة الزائفة التي تستضيف مثبتات MSI المفخخة. تتضمن بعض عائلات البرامج الضارة المقدمة عبر FakeBat IcedID، وRedLine Stealer، وLumma Stealer، وSectopRAT (المعروف أيضًا باسم ArechClient2)، وCarbanak، وهي برامج ضارة مرتبطة بمجموعة الجرائم الإلكترونية FIN7.

وقال مانديانت: “تتضمن طريقة عمل UNC4536 الاستفادة من الإعلانات الضارة لتوزيع مثبتات MSIX المخبأة في هيئة برامج شائعة مثل Brave وKeePass وNotion وSteam وZoom”. “تتم استضافة مثبتات MSIX المصابة بفيروس طروادة على مواقع الويب المصممة لتقليد مواقع استضافة البرامج الشرعية، مما يجذب المستخدمين إلى تنزيلها.”

ما يجعل الهجوم ملحوظًا هو استخدام أدوات تثبيت MSIX المتخفية في هيئة Brave وKeePass وNotion وSteam وZoom، والتي تتمتع بالقدرة على تنفيذ برنامج نصي قبل تشغيل التطبيق الرئيسي عن طريق تكوين يسمى startScript.

UNC4536 هو في الأساس موزع للبرامج الضارة، مما يعني أن FakeBat يعمل كوسيلة توصيل لحمولات المرحلة التالية لشركائه التجاريين، بما في ذلك FIN7.

وقال مانديانت: “يقوم NUMOZYLOD بجمع معلومات النظام، بما في ذلك تفاصيل نظام التشغيل والمجال المرتبط ومنتجات مكافحة الفيروسات المثبتة”. “في بعض المتغيرات، يقوم بجمع عنوان IPv4 وIPv6 العام للمضيف ويرسل هذه المعلومات إلى C2، [and] ينشئ اختصارًا (.lnk) في مجلد بدء التشغيل باعتباره استمرارًا له.”

ويأتي هذا الكشف بعد ما يزيد قليلاً عن شهر من إعلان مانديانت أيضًا مفصل دورة حياة الهجوم المرتبطة بأداة تنزيل برامج ضارة أخرى تسمى EMPTYSPACE (المعروفة أيضًا باسم BrokerLoader أو Vetta Loader)، والتي تم استخدامها من قبل مجموعة تهديدات ذات دوافع مالية يطلق عليها اسم UNC4990 لتسهيل أنشطة استخراج البيانات والتعدين الخفي التي تستهدف الكيانات الإيطالية.

وجدت هذه المادة مثيرة للاهتمام؟ تابعونا على تغريد و ينكدين لقراءة المزيد من المحتوى الحصري الذي ننشره.

Source link