- يعتمد المهاجمون الآن على الموظفين لإطلاق البرامج الضارة بأنفسهم دون علمهم
- تعمل مكالمات دعم تكنولوجيا المعلومات الزائفة على تحويل عملية استكشاف الأخطاء وإصلاحها الروتينية إلى تسوية كاملة للشبكة
- تصبح أعطال المتصفح هي الخطوة الافتتاحية في هجمات الهندسة الاجتماعية التي يتم تنظيمها بعناية
حذر الخبراء من أن نشاط المجرمين السيبرانيين يواصل الابتعاد عن الاستغلال المباشر للبرمجيات نحو التلاعب بسلوك المستخدم اليومي داخل بيئات الشركات.
يصف بحث جديد أجرته Huntress حملة يقوم فيها المهاجمون بتعطيل متصفح المستخدم عمدًا وعرض رسائل أمنية مزعجة تشجع على “الإصلاح”.
يخلق هذا التكتيك إحساسًا زائفًا بالإلحاح بينما يسمح للمهاجم ببدء اتصال مباشر مع الموظف.
يستغل المهاجمون ارتباك الموظفين
في العديد من الحالات المرصودة، تلقى الضحايا مكالمات هاتفية من أفراد يزعمون أنهم موظفين فنيين داخليين مسؤولين عن حل المشكلة، مما يمنح المهاجم مصداقية ويخلق ضغطًا على الموظف للتعاون مع التعليمات التي تبدو روتينية.
تبدأ السلسلة بأكملها برسائل البريد العشوائي التي تغمر صندوق بريد المستخدم. وبعد فترة وجيزة، تصل مكالمة هاتفية من شخص يدعي أنه يمثل “دعم تكنولوجيا المعلومات”، والذي يقول إن البريد العشوائي أو الخلل في المتصفح يتطلب صيانة فورية للكمبيوتر المتأثر.
ينجح الخداع لأن الضحايا يتم إقناعهم بتنفيذ الإجراءات التي تؤدي إلى التسوية بأنفسهم.
وأوضح الباحثون أن المهاجمين يعتمدون على التفاعل اليدوي للمستخدم بدلاً من التسليم الآلي للبرامج الضارة، حيث يتم توجيه الضحايا من خلال خطوات مثل الموافقة على جلسات الوصول عن بعد أو تثبيت أدوات الإدارة عن بعد مثل AnyDesk.
وفي حالات أخرى، يُطلب من المستخدمين نسخ الأوامر ولصقها في مطالبات النظام أو تنفيذ برامج نصية متخفية كإصلاحات تشخيصية.
يفتح المهاجمون متصفحًا أثناء الجلسات البعيدة ويوجهون الضحايا إلى واجهة احتيالية تحت عنوان Microsoft مستضافة على البنية التحتية السحابية.
تم توجيه الضحايا لتسجيل الدخول إلى “لوحة تحكم Outlook لمكافحة البريد العشوائي” المزيفة وتنزيل ما تم وصفه بأنه “تصحيح مكافحة البريد العشوائي”، ولكنه في الواقع ملف أرشيف مقنع يحتوي على عدة مكونات مصممة لبدء المرحلة التالية من الهجوم.
بمجرد تنفيذ ما يسمى بملفات الإصلاح، أعادت السلسلة الضارة بناء نفسها محليًا باستخدام حمولة مرحلية، وتفريغ الملفات التي بدت وكأنها تشبه مكونات البرامج الشرعية، بما في ذلك مكتبات وقت التشغيل والأدوات المساعدة القابلة للتنفيذ.
يقوم برنامج ثنائي واحد يسمى ADNotificationManager.exe بتشغيل المرحلة التالية من التسوية بعد التثبيت.
في هذه المرحلة، يعتمد المهاجمون بشكل كبير على تقنية تُعرف باسم التحميل الجانبي لـ DLL لتشغيل التعليمات البرمجية الضارة بينما تستمر التطبيقات الشرعية في العمل بشكل طبيعي.
تم وضع المكتبات الديناميكية الضارة بجانب الملفات الشرعية، مما يسمح بتشغيل البرامج الضارة دون إثارة إنذارات واضحة داخل النظام على الفور.
نشرت الحمولة في النهاية وكيلًا معدلًا مشتقًا من إطار عمل القيادة والتحكم مفتوح المصدر Havoc C2.
و”ما انتهى في السابق بشراء بطاقة هدايا بقيمة 300 دولار، ينتهي الآن بإطار عمل Havoc C2 معدّل تم اختراقه في بيئتك.”
كان النشاط سريعًا، وفي إحدى الحالات، توسع الدخيل من الكمبيوتر الأولي الذي تم اختراقه إلى تسع نقاط نهاية إضافية في غضون إحدى عشرة ساعة تقريبًا.
يشير هذا النشاط السريع إلى التحكم المباشر للمشغل بدلاً من انتشار البرامج الضارة الآلية عبر نقاط الضعف.
استخدم المهاجم أدوات الإدارة عن بعد والحمولات المكتوبة للحفاظ على الثبات أثناء التنقل عبر الأنظمة المتصلة.
ويحذر الباحثون من أن الحملة تكرر كيف يعتمد المهاجمون بشكل متزايد على التفاعل الاجتماعي بدلاً من العيوب التقنية لتجاوز دفاعات جدار الحماية.
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات