يستهدف المهاجمون الأسود المرتبطون بـ Basta المستخدمين باستخدام البرامج الضارة SystemBC
تم ربط حملة الهندسة الاجتماعية المستمرة ذات الروابط المزعومة بمجموعة Black Basta Ransomware بـ “محاولات اقتحام متعددة” بهدف إجراء سرقة بيانات الاعتماد ونشر برنامج ضار يسمى SystemBC.
“إن الإغراء الأولي الذي يستخدمه ممثلو التهديد يظل كما هو: قنبلة بريد إلكتروني تتبعها محاولة للاتصال بالمستخدمين المتأثرين وتقديم حل زائف،” Rapid7 قالمضيفًا “يتم عادةً إجراء مكالمات خارجية للمستخدمين المتأثرين عبر Microsoft Teams.”
تقوم سلسلة الهجوم بعد ذلك بإقناع المستخدم بتنزيل وتثبيت برنامج شرعي للوصول عن بعد يُسمى AnyDesk، والذي يعمل كقناة لنشر حمولات المتابعة وتصفية البيانات الحساسة.
يتضمن ذلك استخدام ملف قابل للتنفيذ يسمى “AntiSpam.exe” يهدف إلى تنزيل عوامل تصفية البريد الإلكتروني العشوائي ويحث المستخدمين على إدخال بيانات اعتماد Windows الخاصة بهم لإكمال التحديث.
يتبع هذه الخطوة تنفيذ العديد من الثنائيات وملفات DLL ونصوص PowerShell، والتي تتضمن منارة HTTP المستندة إلى Golang والتي تنشئ اتصالاً مع خادم بعيد ووكيل SOCKS وSystemBC.
للتخفيف من المخاطر التي يشكلها التهديد، يُنصح بحظر جميع حلول سطح المكتب البعيد غير المعتمدة والحذر من المكالمات الهاتفية والرسائل النصية المشبوهة التي يُزعم أنها من موظفي تكنولوجيا المعلومات الداخليين.
ويأتي هذا الكشف في الوقت الذي ظهرت فيه SocGholish (المعروفة أيضًا باسم FakeUpdates)، وGootLoader، وRaspberry Robin باعتبارها سلالات أدوات التحميل الأكثر شيوعًا في عام 2024، والتي تعمل بعد ذلك كنقطة انطلاق لبرامج الفدية، وفقًا لبيانات من ReliaQuest.
“GootLoader جديد على قائمة الثلاثة الأوائل هذا العام، ليحل محل QakBot مع تراجع نشاطه”، شركة الأمن السيبراني قال.
“يتم الإعلان بشكل متكرر عن أدوات تحميل البرامج الضارة على منتديات الجرائم الإلكترونية على شبكة الإنترنت المظلمة مثل XSS وExploit، حيث يتم تسويقها لمجرمي الإنترنت الذين يسعون إلى تسهيل عمليات اقتحام الشبكة وتسليم الحمولة. غالبًا ما يتم تقديم أدوات التحميل هذه من خلال نماذج الاشتراك، مع رسوم شهرية تتيح الوصول إلى التحديثات المنتظمة، الدعم والميزات الجديدة المصممة لتجنب الاكتشاف.”
إحدى ميزات هذا النهج القائم على الاشتراك هو أنه يسمح حتى للجهات الفاعلة ذات الخبرة التقنية المحدودة بشن هجمات معقدة.
وقد لوحظت أيضًا هجمات التصيد الاحتيالي وهي تقدم برنامجًا ضارًا لسرقة المعلومات يُعرف باسم 0bj3ctivity Stealer عن طريق أداة تحميل أخرى تسمى Ande Loader كجزء من آلية توزيع متعددة الطبقات.
“إن توزيع البرامج الضارة من خلال البرامج النصية المبهمة والمشفرة، وتقنيات حقن الذاكرة، والتحسين المستمر لـ Ande Loader بميزات مثل مكافحة التصحيح وتشويش السلسلة يؤكد الحاجة إلى آليات الكشف المتقدمة والبحث المستمر،” eSentire قال.
هذه الحملات هي الأحدث في سلسلة من هجمات التصيد الاحتيالي والهندسة الاجتماعية التي تم الكشف عنها في الأسابيع الأخيرة، حتى مع تزايد الجهات الفاعلة في مجال التهديد تسليح رموز QR المزيفة لأغراض خبيثة –
- حملة ClearFake التي الروافع المالية صفحات الويب المخترقة لنشر البرامج الضارة .NET بحجة تنزيل تحديث Google Chrome
- أ حملة يستخدم مواقع الويب المزيفة التي تتنكر في صورة HSBC وSantander وVirgin Money وWise لتقديم نسخة من برنامج AnyDesk Remote Monitoring and Management (RMM) لمستخدمي Windows وmacOS، والذي يُستخدم بعد ذلك لسرقة البيانات الحساسة.
- أ موقع مزيف (“وين رار[.]co”) على ما يبدو بتوزيع برنامج WinRAR الذي يُستخدم لنشر برامج الفدية، وأداة تعدين العملات المشفرة، وأداة سرقة المعلومات التي تسمى Kematian Stealer والتي تتم استضافتها على GitHub
- أ حملة إعلانية ضارة على وسائل التواصل الاجتماعي يقوم باختطاف صفحات Facebook للترويج لموقع ويب يبدو شرعيًا لمحرر صور الذكاء الاصطناعي (AI) من خلال الإعلانات المدفوعة التي تغري الضحايا بتنزيل أداة RMM الخاصة بـ ITarian واستخدامها لتسليم Lumma Stealer
وقال باحثو تريند مايكرو: “إن استهداف مستخدمي وسائل التواصل الاجتماعي لأنشطة ضارة يسلط الضوء على أهمية اتخاذ إجراءات أمنية قوية لحماية بيانات اعتماد الحساب ومنع الوصول غير المصرح به”.
إرسال التعليق