يستهدف مجرمو الإنترنت الشركات البولندية باستخدام برنامج Agent Tesla والبرامج الضارة Formbook
قام باحثو الأمن السيبراني بتفصيل حملات تصيد واسعة النطاق استهدفت الشركات الصغيرة والمتوسطة الحجم (SMBs) في بولندا خلال شهر مايو 2024 والتي أدت إلى نشر العديد من عائلات البرامج الضارة مثل Agent Tesla وFormbook وRemcos RAT.
وتشمل بعض المناطق الأخرى التي استهدفتها الحملات إيطاليا ورومانيا، وفقًا لشركة الأمن السيبراني ESET.
“استخدم المهاجمون حسابات البريد الإلكتروني وخوادم الشركة التي تم اختراقها سابقًا، ليس فقط لنشر رسائل البريد الإلكتروني الضارة ولكن أيضًا لاستضافة البرامج الضارة وجمع البيانات المسروقة،” الباحث في شركة ESET جاكوب كالوتش قال في تقرير نشر اليوم.
تتميز هذه الحملات، المنتشرة عبر تسع موجات، باستخدام أداة تحميل البرامج الضارة التي تسمى DBatLoader (المعروف أيضًا باسم ModiLoader وNatsoLoader) لتسليم الحمولات النهائية.
وقالت شركة الأمن السيبراني السلوفاكية إن هذا يمثل خروجًا عن الهجمات السابقة التي لوحظت في النصف الثاني من عام 2023 والتي استفادت من خدمة التشفير كخدمة (CaaS) التي يطلق عليها اسم AceCryptor لنشر Remcos RAT (المعروف أيضًا باسم Rescoms).
“خلال النصف الثاني من [2023]”، أصبحت Rescoms عائلة البرامج الضارة الأكثر انتشارًا التي تحتوي على AceCryptor،” لاحظت ESET في مارس 2024. “حدثت أكثر من نصف هذه المحاولات في بولندا، تليها صربيا وإسبانيا وبلغاريا وسلوفاكيا.”
كانت نقطة البداية للهجمات هي رسائل البريد الإلكتروني التصيدية التي تتضمن مرفقات RAR أو ISO المليئة بالبرامج الضارة والتي، عند فتحها، قامت بتنشيط عملية متعددة الخطوات لتنزيل حصان طروادة وتشغيله.
في الحالات التي يتم فيها إرفاق ملف ISO، سيؤدي ذلك مباشرة إلى تنفيذ DBatLoader. من ناحية أخرى، يحتوي أرشيف RAR على برنامج نصي دفعي غامض لنظام التشغيل Windows يشتمل على برنامج ModiLoader القابل للتنفيذ بتشفير Base64 والذي يتنكر في هيئة ملف بيم-قائمة إبطال الشهادات المشفرة.
تم تصميم DBatLoader، وهو برنامج تنزيل قائم على دلفي، في المقام الأول لتنزيل وتشغيل البرامج الضارة للمرحلة التالية إما من Microsoft OneDrive أو من خوادم مخترقة تابعة لشركات شرعية.
وبغض النظر عن البرامج الضارة التي يتم نشرها، فإن Agent Tesla وFormbook وRemcos RAT تأتي مزودة بقدرات لسحب المعلومات الحساسة، مما يسمح لممثلي التهديد “بتمهيد الطريق لحملاتهم القادمة”.
ويأتي هذا التطور في الوقت الذي كشفت فيه كاسبرسكي أن الشركات الصغيرة والمتوسطة يتم استهدافها بشكل متزايد من قبل مجرمي الإنترنت بسبب افتقارها إلى تدابير الأمن السيبراني القوية بالإضافة إلى الموارد والخبرات المحدودة.
“تظل هجمات طروادة هي التهديدات السيبرانية الأكثر شيوعًا، مما يشير إلى أن المهاجمين يواصلون استهداف الشركات الصغيرة والمتوسطة وتفضيل البرامج الضارة على البرامج غير المرغوب فيها،” حسبما ذكرت شركة الأمن الروسية. قال الشهر الماضي.
“تعد أحصنة طروادة خطيرة بشكل خاص لأنها تحاكي البرامج الشرعية، مما يجعل من الصعب اكتشافها ومنعها. كما أن تعدد استخداماتها وقدرتها على تجاوز الإجراءات الأمنية التقليدية يجعلها أداة سائدة وفعالة للمهاجمين السيبرانيين.”
إرسال التعليق