جديد متستر سارق المعلومات ينزلق على أجهزة المستخدمين عبر عمليات إعادة توجيه مواقع الويب من إعلانات Google التي تشكل مواقع تنزيل لبرامج القوى العاملة عن بُعد الشهيرة ، مثل Zoom و AnyDesk.
يستخدم المهاجمون المسؤولون عن سلالة البرامج الضارة الجديدة ، "Rhadamanthys Stealer" - المتاح للشراء على Dark Web بموجب نموذج البرامج الضارة كخدمة - طريقتين للتسليم لنشر حمولتهم ، وفقًا لباحثين من Cyble كشف في منشور مدونة تم نشره في 12 يناير.
الأول هو من خلال مواقع التصيد المصممة بعناية والتي تنتحل صفة مواقع التنزيل ليس فقط من أجل Zoom ولكن أيضًا AnyDesk و Notepad ++ و Bluestacks. وقال الباحثون إن الآخر هو من خلال رسائل بريد إلكتروني تصيدية نموذجية تنقل البرامج الضارة كمرفق ضار.
تشكل كلتا طريقتين التوصيل تهديدًا للمؤسسة ، حيث لا يزال التصيد الاحتيالي المقترن بالسذاجة البشرية من جانب عمال الشركات المطمئنين وسيلة ناجحة للجهات الفاعلة في مجال التهديد "للحصول على وصول غير مصرح به إلى شبكات الشركات ، الأمر الذي أصبح مصدر قلق خطير" ، قال.
في الواقع، مسح سنوي بواسطة Verizon بشأن انتهاكات البيانات وجدت ذلك في عام 2021، حوالي 82٪ من جميع الخروقات تضمنت الهندسة الاجتماعية بشكل ما ، حيث يفضل المهاجمون التصيد الاحتيالي لأهدافهم عبر البريد الإلكتروني في أكثر من 60٪ من الوقت.
عملية احتيال "مقنعة للغاية"
اكتشف الباحثون عددًا من مجالات التصيد الاحتيالي التي أنشأها ممثلو التهديد لنشر Rhadamanthys ، والتي يبدو أن معظمها عبارة عن روابط مثبت شرعية لمختلف العلامات التجارية للبرامج المذكورة أعلاه. تتضمن بعض الروابط الضارة التي حددوها ما يلي: bluestacks-install [.] com و zoomus-install [.] com و install-zoom [.] com و install-anydesk [.] com و zoom-meeting-install [.] com.
وكتبوا: "قام ممثلو التهديد وراء هذه الحملة ... بإنشاء صفحة ويب تصيد مقنعة للغاية تنتحل صفة مواقع الويب الشرعية لخداع المستخدمين لتنزيل البرامج الضارة المخترقة ، والتي تقوم بأنشطة ضارة".
قال الباحثون إنه إذا أخذ المستخدمون الطُعم ، فستقوم مواقع الويب بتنزيل ملف مثبّت متخفي كمثبّت شرعي لتنزيل التطبيقات المعنية ، وتثبيت أداة السرقة بصمت في الخلفية دون علم المستخدم.
في جانب البريد الإلكتروني التقليدي للحملة ، يستخدم المهاجمون البريد العشوائي الذي يستفيد من أداة الهندسة الاجتماعية النموذجية لتصوير الحاجة الملحة للرد على رسالة بموضوع مالي. تزعم رسائل البريد الإلكتروني أنها ترسل كشوف حساب إلى المستلمين مع مرفق بيان. pdf يُنصحهم بالنقر حتى يتمكنوا من الرد "برد فوري".
إذا نقر شخص ما على المرفق ، فإنه يعرض رسالة تشير إلى أنه "محدث Adobe Acrobat DC" ويتضمن رابط تنزيل بعنوان "تنزيل التحديث". هذا الرابط ، بمجرد النقر عليه ، يقوم بتنزيل برنامج ضار قابل للتنفيذ للسارق من عنوان URL "https [:] \ zolotayavitrina [.] com / Jan-statement [.] exe" قال الباحثون في مجلد التنزيلات بجهاز الضحية.
بمجرد تنفيذ هذا الملف ، يتم نشر أداة السرقة لرفع البيانات الحساسة مثل سجل المتصفح وبيانات اعتماد تسجيل الدخول المختلفة - بما في ذلك تقنية محددة لاستهداف المحفظة المشفرة - من جهاز الكمبيوتر المستهدف ، على حد قولهم.
حمولة Rhadamanthys
Rhadamanthys يتصرف بشكل أو بآخر مثل a سارق المعلومات النموذجي؛ ومع ذلك ، فإنه يحتوي على بعض الميزات الفريدة التي حددها الباحثون عندما لاحظوا تنفيذها على جهاز الضحية.
وجد الباحثون أنه على الرغم من أن ملفات التثبيت الأولية في كود Python المبهم ، فإن الحمولة النهائية يتم فك تشفيرها كرمز قشرة في شكل ملف قابل للتنفيذ 32 بت تم تجميعه مع مترجم Microsoft Visual C / C ++.
أول أمر عمل لكود القشرة هو إنشاء كائن كائن المزامنة (mutex) بهدف ضمان تشغيل نسخة واحدة فقط من البرنامج الضار على نظام الضحية في أي وقت. وقال الباحثون إنه يتحقق أيضًا لمعرفة ما إذا كان يعمل على جهاز افتراضي ، ظاهريًا لمنع اكتشاف السارق وتحليله في بيئة افتراضية.
وكتبوا: "إذا اكتشفت البرامج الضارة أنها تعمل في بيئة خاضعة للرقابة ، فإنها ستنهي تنفيذها". "وإلا ، فسيستمر ويؤدي نشاط السرقة على النحو المنشود."
يتضمن هذا النشاط جمع معلومات النظام - مثل اسم الكمبيوتر واسم المستخدم وإصدار نظام التشغيل وتفاصيل الجهاز الأخرى - من خلال تنفيذ سلسلة من استعلامات Windows Management Instrumentation (WMI). يتبع ذلك استعلام عن أدلة المتصفحات المثبتة - بما في ذلك Brave و Edge و Chrome و Firefox و Opera Software وغيرها - على جهاز الضحية للبحث عن وسرقة سجل المتصفح والإشارات المرجعية وملفات تعريف الارتباط والتعبئة التلقائية و بيانات اعتماد تسجيل الدخول.
يمتلك السارق أيضًا تفويضًا محددًا لاستهداف محافظ تشفير مختلفة ، بأهداف محددة مثل Armory و Binance و Bitcoin و ByteCoin و WalletWasabi و Zap وغيرها. وقال الباحثون إنه يسرق أيضًا البيانات من العديد من امتدادات مستعرضات المحفظة المشفرة ، والتي يتم ترميزها بشكل ثابت في ثنائي السرقة.
التطبيقات الأخرى التي تستهدفها Rhadamanthys هي: عملاء FTP وعملاء البريد الإلكتروني ومديرو الملفات ومديرو كلمات المرور وخدمات VPN وتطبيقات المراسلة. يقوم السارق أيضًا بالتقاط لقطات شاشة لجهاز الضحية. قال الباحثون إن البرامج الضارة ترسل في النهاية جميع البيانات المسروقة إلى خادم القيادة والسيطرة (C2) للمهاجمين.
الأخطار على المؤسسة
منذ الوباء ، أصبحت القوى العاملة في الشركات أكثر تشتتًا جغرافيًا بشكل عام تحديات أمنية فريدة. أصبحت أدوات البرامج التي تسهل على العاملين عن بُعد التعاون - مثل Zoom و AnyDesk - أهدافًا شائعة ليس فقط من أجل التهديدات الخاصة بالتطبيق، ولكن أيضًا لحملات الهندسة الاجتماعية التي ينفذها المهاجمون الذين يرغبون في الاستفادة من هذه التحديات.
وقال الباحثون إنه بينما يجب أن يعرف معظم العاملين في الشركات الآن بشكل أفضل ، يظل التصيد الاحتيالي طريقة ناجحة للغاية للمهاجمين لكسب موطئ قدم في شبكة مؤسسة. لهذا السبب ، يوصي باحثو Cybel بأن تستخدم جميع المؤسسات منتجات الأمان لاكتشاف رسائل البريد الإلكتروني ومواقع الويب المخادعة عبر شبكتها. وقالوا إن هذه يجب أن تمتد أيضًا إلى الأجهزة المحمولة التي تصل إلى شبكات الشركات.
قال الباحثون إنه يتعين على الشركات تثقيف الموظفين حول مخاطر فتح مرفقات البريد الإلكتروني من مصادر غير موثوق بها ، وكذلك تنزيل البرامج المقرصنة من الإنترنت. يجب عليهم أيضًا تعزيز أهمية استخدام كلمات مرور قوية وفرض المصادقة متعددة العوامل حيثما أمكن ذلك.
أخيرًا ، نصح باحثو Cyble بأنه كقاعدة عامة ، يجب على المؤسسات حظر عناوين URL - مثل مواقع Torrent / Warez - التي يمكن استخدامها لنشر البرامج الضارة.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- المصدر https://www.darkreading.com/threat-intelligence/sneaky-stealer-woos-remote-workers-fake-zoom-downloads
- 7
- a
- من نحن
- الوصول
- الوصول
- حسابي
- في
- أنشطة
- نشاط
- الأفعال
- أدوبي
- الكل
- و
- سنوي
- تظهر
- التطبيقات
- التطبيقات
- جانب
- التحقّق من المُستخدم
- متاح
- خلفية
- طعم
- لان
- أصبح
- وراء
- يجري
- أفضل
- binance
- إلى البيتكوين
- حظر
- المدونة
- الإشارات المرجعية
- العلامات التجارية
- الشجعان
- مخالفات
- المتصفح
- المتصفحات
- الأعمال
- الحملات
- الحملات
- يلتقط
- بعناية
- التحديات
- الشيكات
- الكروم
- عميل
- الكود
- تعاون
- جمع
- الجمع بين
- الكمبيوتر
- قلق
- استمر
- تواصل
- ذو شاهد
- ملفات تعريف الارتباط ( الكوكيز )
- منظمة
- خلق
- خلق
- أوراق اعتماد
- التشفير
- محافظ تشفير
- الأخطار
- غامق
- الويب المظلم
- البيانات
- خرق البيانات
- dc
- نقل
- التوصيل
- نشر
- تفاصيل
- الكشف عن
- الأجهزة
- الدلائل
- مشتت
- يعرض
- المجالات
- بإمكانك تحميله
- التنزيلات
- أسهل
- حافة
- تثقيف
- البريد الإلكتروني
- رسائل البريد الإلكتروني
- الموظفين
- الهندسة
- ضمان
- مشروع
- الشركات
- البيئة
- نهائي
- في النهاية
- تنفيذ
- اضافات المتصفح
- زائف
- المميزات
- قم بتقديم
- ملفات
- مالي
- برنامج فايرفوكس
- الاسم الأول
- يتبع
- النموذج المرفق
- وجدت
- تبدأ من
- ربح
- العلاجات العامة
- معطى
- شراء مراجعات جوجل
- جدا
- تاريخ
- لكن
- HTTPS
- الانسان
- محدد
- فوري
- أهمية
- in
- تتضمن
- يشمل
- بما فيه
- info
- معلومات
- في البداية
- تركيب
- Internet
- المشاركة
- IT
- يناير
- علم
- معرفة
- الرافعة المالية
- LINK
- وصلات
- آلة
- الآلات
- جعل
- البرمجيات الخبيثة
- إدارة
- مديرو
- تفويض
- الرسالة
- الرسائل
- طرق
- مایکروسافت
- الجوال
- أجهزة محمولة
- نموذج
- الأكثر من ذلك
- أكثر
- مصادقة متعددة العوامل
- الاسم
- شبكة
- الشبكات
- جديد
- المفكرة + +
- عدد
- موضوع
- ONE
- افتتاح
- العمل
- طلب
- OS
- أخرى
- أخرى
- وإلا
- الكلي
- وباء
- جزء
- كلمة المرور
- كلمات السر
- نفذ
- التصيد
- التصيد
- مواقع التصيد
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- أكثر الاستفسارات
- ممكن
- منع
- المنتجات
- نشرت
- شراء
- بايثون
- المستفيدين
- نوصي
- تعزز
- بقايا
- عن بعد
- العمال عن بعد
- الرد
- الباحثين
- هؤلاء
- الرد
- استجابة
- قاعدة
- تشغيل
- قال
- لقطات
- بحث
- أمن
- إرسال
- حساس
- مسلسلات
- جدي
- خدمات
- ينبغي
- المواقع
- انزلاق
- متستر
- So
- العدالة
- هندسة اجتماعية
- تطبيقات الكمبيوتر
- بعض
- شخص ما
- مصادر
- البريد المزعج
- محدد
- انتشار
- ملخص الحساب
- البيانات
- تسرق
- مسروق
- قوي
- ناجح
- هذه
- نظام
- أخذ
- الهدف
- المستهدفة
- الأهداف
- تكنولوجيا
- •
- من مشاركة
- موضوع
- التهديد
- الجهات التهديد
- عبر
- الوقت
- إلى
- أداة
- أدوات
- تقليدي
- نموذجي
- مع
- فريد من نوعه
- تحديث
- إلحاح
- URL
- تستخدم
- مستخدم
- المستخدمين
- مختلف
- فيريزون
- الإصدار
- بواسطة
- ضحية
- افتراضي
- الجهاز الظاهري
- VPN
- محافظ
- الويب
- الموقع الإلكتروني
- المواقع
- التي
- في حين
- سوف
- نوافذ
- بدون
- العمال
- القوى العاملة
- زفيرنت
- زوم