- يستهدف المتسللون الروس أقسام الموارد البشرية باستخدام برنامج BlackSanta الخبيث
- تستخدم سلسلة العدوى رسائل البريد الإلكتروني التصيدية وملفات ISO الضارة
- يقوم BlackSanta بتعطيل أدوات EDR لتمكين التسوية الأعمق
استهدف المتسللون الروس أقسام الموارد البشرية (HR) في العديد من المؤسسات حول العالم باستخدام برنامج ضار لم يسبق له مثيل يسمى BlackSanta.
تم رصد الحملة من قبل باحثي الأمن السيبراني أرياكا، الذين قالوا إن الهجمات مستمرة منذ عام على الأقل، وتتضمن سلسلة عدوى معقدة إلى حد ما.
يبدأ الأمر على الأرجح برسالة بريد إلكتروني تصيدية تتظاهر بمشاركة السير الذاتية للموظفين المحتملين، بما في ذلك رابط إلى مجلد Dropbox الذي يحتوي على صورة ISO. هذه الملفات عبارة عن نسخ من الأقراص الضوئية وكانت شائعة إلى حد ما في أوائل العقد الأول من القرن الحادي والعشرين حتى أصبحت محركات الأقراص المصغرة ميسورة التكلفة. ومع ذلك، في هذه الأيام، يمكن اعتبارها علامة حمراء رئيسية نظرًا لأنها نادرًا ما يتم استخدامها خارج نطاق عمليات الاحتيال.
يستمر المقال أدناه
قاتل إي دي آر
ومع ذلك، فإن أولئك الذين لم يكتشفوا الحيلة، وقاموا بتنزيل ملف ISO واستخراجه، سيحصلون على ملفات متعددة، بما في ذلك ملف اختصار، وبرنامج PowerShell النصي. يقوم البرنامج النصي بتنزيل ملف DLL ضار وقارئ PDF شرعي، والذي يستخدم لتحميل ملف DLL بشكل جانبي.
يقوم DLL بعد ذلك بفحص النظام أولاً لمعرفة ما إذا كان يعمل في بيئة وضع الحماية أو جهاز ظاهري. إذا رأت أن الجهاز يستحق المزيد من العدوى، فإنه يقوم بتنزيل حمولات إضافية، من بينها BlackSanta.
توصف هذه القطعة من البرامج الضارة بأنها “قاتل EDR” – مما يعني أنها تنهي أدوات الكشف عن نقطة النهاية والاستجابة لها قبل السماح بنشر المزيد من الحمولات.
كما أنه قادر على القيام بأشياء مختلفة، اعتمادًا على نوع حل EDR الموجود على الجهاز المستهدف. على سبيل المثال، يمكنه منع إشعارات Windows لمواصلة التشغيل حتى عندما يحاول نظام التشغيل تنبيه المستخدم بشأن الهجوم المستمر.
وقال أرياكا إنه تم رصد المهاجمين في البرية، لكنه لم يذكر عدد المنظمات التي تعرضت للهجوم، أو عدد الضحايا الذين سقطوا بالفعل. كما أنها لم تناقش هوية المهاجمين، ولكن إذا حكمنا من خلال وزارة الصحة، فلا يبدو أنها من المجموعات الأكثر شعبية والتي ترعاها الدولة.
عبر BleepingComputer
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات