يستغل المهاجمون Microsoft Teams وAnyDesk لنشر برامج DarkGate الضارة
استفادت حملة الهندسة الاجتماعية الجديدة من Microsoft Teams كوسيلة لتسهيل نشر برنامج ضار معروف يسمى DarkGate.
“استخدم أحد المهاجمين الهندسة الاجتماعية عبر مكالمة Microsoft Teams لانتحال شخصية عميل المستخدم والوصول عن بعد إلى نظامه،” هذا ما قاله باحثو تريند مايكرو كاثرين لوفيريا، وجوفيت سامانييغو، وغابرييل نيكوليتا. قال.
“فشل المهاجم في تثبيت تطبيق Microsoft Remote Support ولكنه نجح في توجيه الضحية إلى تنزيل AnyDesk، وهي أداة شائعة الاستخدام للوصول عن بعد.”
وكما تم توثيقه مؤخرًا من قبل شركة Rapid7 للأمن السيبراني، فقد تضمن الهجوم قصف صندوق البريد الإلكتروني للهدف بـ “آلاف رسائل البريد الإلكتروني”، وبعد ذلك اتصل بهم ممثلو التهديد عبر Microsoft Teams من خلال التنكر كموظف لدى مورد خارجي.
ثم واصل المهاجم توجيه الضحية لتثبيت AnyDesk على نظامه، مع إساءة استخدام الوصول عن بعد لاحقًا لتوصيل حمولات متعددة، بما في ذلك أداة سرقة بيانات الاعتماد والبرمجيات الضارة DarkGate.
تم استخدام DarkGate بشكل نشط منذ عام 2018، وهو عبارة عن حصان طروادة للوصول عن بعد (RAT) والذي تطور منذ ذلك الحين إلى برنامج ضار كخدمة (MaaS) يقدم عددًا من العملاء يتم التحكم فيه بإحكام. من بين قدراته المتنوعة إجراء سرقة بيانات الاعتماد، وتسجيل لوحة المفاتيح، والتقاط الشاشة، وتسجيل الصوت، وسطح المكتب البعيد.
يُظهر تحليل حملات DarkGate المختلفة خلال العام الماضي أنه من المعروف أنه تم توزيعها عبر سلسلتي هجوم مختلفتين تستخدمان البرامج النصية AutoIt وAutoHotKey. في الحادثة التي فحصتها Trend Micro، تم نشر البرامج الضارة عبر برنامج نصي AutoIt.
على الرغم من أن الهجوم قد تم حظره قبل تنفيذ أي أنشطة لاستخراج البيانات، إلا أن النتائج تعد علامة على كيفية استخدام الجهات الفاعلة في التهديد لمجموعة متنوعة من طرق الوصول الأولية لنشر البرامج الضارة.
يُنصح المؤسسات بتمكين المصادقة متعددة العوامل (MFA)، ووضع قائمة أدوات الوصول عن بُعد المعتمدة في القائمة المسموح بها، وحظر التطبيقات التي لم يتم التحقق منها، وإجراء فحص شامل لمقدمي الدعم الفني التابعين لجهات خارجية للقضاء على مخاطر التصيد الاحتيالي.
ويأتي هذا التطور وسط تصاعد في حملات التصيد الاحتيالي المختلفة التي استفادت من العديد من الإغراءات والحيل لخداع الضحايا للتخلي عن بياناتهم.
- على نطاق واسع حملة موجهة إلى YouTube حيث ينتحل الممثلون السيئون علامات تجارية مشهورة ويتواصلون مع منشئي المحتوى عبر البريد الإلكتروني للحصول على عروض ترويجية محتملة ومقترحات شراكة وعمليات تعاون تسويقية، ويحثونهم على النقر فوق رابط لتوقيع اتفاقية، مما يؤدي في النهاية إلى نشر Lumma Stealer. يتم استخراج عناوين البريد الإلكتروني من قنوات YouTube عن طريق محلل.
- حملة قمع تستغل رسائل البريد الإلكتروني التصيدية تحمل مرفق PDF يحتوي على ملف رمز الاستجابة السريعة المرفق، والذي، عند فحصه، يوجه المستخدمين إلى صفحة تسجيل دخول مزيفة إلى Microsoft 365 لجمع بيانات الاعتماد.
- تستفيد هجمات التصيد الاحتيالي من الثقة المرتبطة صفحات Cloudflare والعاملين لإعداد مواقع مزيفة تحاكي صفحات تسجيل الدخول إلى Microsoft 365 وعمليات التحقق الزائفة من اختبار CAPTCHA لمراجعة مستند ما أو تنزيله.
- هجمات التصيد التي تستخدم مرفقات البريد الإلكتروني بتنسيق HTML المتخفية في شكل مستندات شرعية مثل الفواتير أو سياسات الموارد البشرية ولكنها تحتوي على تعليمات برمجية JavaScript مضمنة لتنفيذ إجراءات ضارة مثل إعادة توجيه المستخدمين إلى مواقع التصيد الاحتيالي وجمع بيانات الاعتماد وخداع المستخدمين لتشغيل أوامر عشوائية بحجة إصلاح خطأ (على سبيل المثال، ClickFix) .
- حملات التصيد الاحتيالي عبر البريد الإلكتروني التي تستفيد من المنصات الموثوقة مثل Docusign وAdobe InDesign وGoogle Accelerated Mobile Pages (AMP) لجعل المستخدمين ينقرون على الروابط الضارة المصممة لجمع بيانات الاعتماد الخاصة بهم.
- محاولات التصيد الاحتيالي التي تدعي أنها من فريق دعم اوكتا في محاولة للوصول إلى بيانات اعتماد المستخدمين وخرق أنظمة المنظمة.
- رسائل التصيد الاحتيالي تستهدف المستخدمين الهنود يتم التوزيع عبر الواتس اب وتوجيه المستلمين لتثبيت تطبيق مصرفي أو أداة مساعدة ضارة لأجهزة Android القادرة على سرقة المعلومات المالية.
ومن المعروف أيضًا أن الجهات التهديدية تستفيد بسرعة من الأحداث العالمية لصالحها من خلال دمجها في حملات التصيد الاحتيالي الخاصة بها، والتي غالبًا ما تكون يستغل الاستعجال و ردود الفعل العاطفية للتلاعب بالضحايا وإقناعهم بالقيام بأعمال غير مقصودة. وتكتمل هذه الجهود أيضًا بتسجيلات النطاق باستخدام كلمات رئيسية خاصة بالحدث.
“إن الأحداث العالمية رفيعة المستوى، بما في ذلك البطولات الرياضية وإطلاق المنتجات، تجتذب مجرمي الإنترنت الذين يسعون إلى استغلال المصلحة العامة،” وحدة بالو ألتو نتوركس 42 قال. “يقوم هؤلاء المجرمون بتسجيل نطاقات خادعة تحاكي المواقع الرسمية لبيع البضائع المقلدة وتقديم خدمات احتيالية.”
“من خلال مراقبة المقاييس الرئيسية مثل تسجيلات النطاق والأنماط النصية وشذوذ DNS واتجاهات الطلب المتغيرة، يمكن لفرق الأمان تحديد التهديدات وتخفيفها مبكرًا.”
إرسال التعليق