عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة Batavia Spyware

Batavia Spyware

بواسطة Mezo في البرمجيات الخبيثة, برامج التجسس
ترجمة الى:

تستهدف حملة تجسس إلكتروني متطورة المنظمات الروسية بشكل نشط منذ يوليو 2024. وفي قلب العملية برنامج تجسس غير موثق سابقًا يسمى Batavia، والذي يتم نشره من خلال رسائل بريد إلكتروني خادعة مصممة لتبدو كعروض عقود مشروعة.

سلسلة العدوى: من البريد الإلكتروني إلى التجسس

يبدأ الهجوم برسائل تصيد إلكتروني مُعدّة بعناية، مُرسلة من نطاق oblast-ru.com الذي يتحكم به المهاجم. تغري هذه الرسائل المُستلِمين بطلب توقيع عقد وهمي، وتتضمن رابطًا خبيثًا. يؤدي النقر على الرابط إلى بدء تنزيل ملف أرشيف يحتوي على نص برمجي مُرمّز بلغة Visual Basic (ملف VBE).

بمجرد تنفيذه، يقوم البرنامج النصي بالاستطلاع بجمع معلومات مفصلة عن النظام المضيف وإرسالها إلى خادم بعيد. يؤدي هذا إلى تنزيل حمولة ثانوية، وهي ملف تنفيذي مكتوب بلغة دلفي.

برامج Delphi الخبيثة: التشتيت وسرقة البيانات

من المرجح أن يُقدّم البرنامج الخبيث القائم على دلفي عقدًا مزيفًا لإبقاء الضحية مشغولًا. وفي الوقت نفسه، يجمع بشكل سري مجموعة متنوعة من المعلومات الحساسة، بما في ذلك:

  • سجلات النظام ومعلومات البرامج المثبتة
  • Microsoft Office وأنواع المستندات الأخرى (*.doc، *.docx، *.ods، *.odt، *.pdf، *.xls، *.xlsx)
  • لقطات الشاشة والبيانات من أي أجهزة قابلة للإزالة متصلة بالمضيف

لا تنتهي وظيفة البرنامج الخبيث عند هذا الحد. فهو يُنزّل أيضًا ملفًا ثنائيًا إضافيًا من خادم الأوامر والتحكم الخاص به. صُمم هذا الملف لجمع مجموعة أوسع من أنواع الملفات لاستخراجها.

إمكانيات جمع الملفات الموسعة

تعمل المرحلة الثنائية الثانية على توسيع نطاق البيانات المسروقة بشكل كبير لتشمل:

  • الصور والملفات الرسومية: *.jpeg، *.jpg، *.cdr
  • رسائل البريد الإلكتروني والمحتوى النصي: *.eml، *.csv، *.txt، *.rtf
  • العروض التقديمية والأرشيفات: *.ppt، *.pptx، *.odp، *.rar، *.zip

تُسرَّب جميع المعلومات المُجمَّعة إلى نطاق مختلف، وهو ru-exchange.com، والذي يُستخدم أيضًا كنقطة تسليم لملف تنفيذي من المرحلة الرابعة. يُرجَّح أن يُواصل هذا المُكوِّن المجهول سلسلة الهجمات بمزيد من الإجراءات الخبيثة.

التأثير واسع النطاق والبيانات المجمعة

على مدار العام الماضي، استُهدف أكثر من 100 مستخدم من عشرات المؤسسات برسائل التصيد الاحتيالي هذه. تضمن الحمولة النهائية جمعًا شاملًا للبيانات، لا يقتصر على استخراج المستندات الشخصية والمؤسسية فحسب، بل يشمل أيضًا:

  • جرد كامل للبرامج المثبتة
  • معلومات حول برامج تشغيل الأجهزة
  • تفاصيل مكونات نظام التشغيل

الخلاصة: تهديد تجسس منسق ومتطور

تعكس حملة برامج التجسس باتافيا تهديدًا منسقًا ومستمرًا لأمن المؤسسات في روسيا. إن سلسلة العدوى متعددة المراحل، إلى جانب قدرتها على استخراج مجموعة واسعة من الملفات ومعلومات استخبارات النظام، تجعلها أداة تجسس هائلة. يجب على المؤسسات أن تظل يقظة وأن تتبنى تدابير أمنية استباقية للدفاع ضد هذه الهجمات المتقدمة والمضللة.

الشائع

احتيال عبر البريد الإلكتروني بشأن مدفوعات التعويضات...

التصيد الاحتيالي, المواقع المارقة, رسائل إلكترونية مزعجة
في عصرٍ تُهيمن فيه المعاملات الرقمية والخدمات المالية الإلكترونية، يجب على المستخدمين توخي الحذر من عمليات الاحتيال الإلكتروني المتطورة بشكل متزايد. ومن بين المخططات المُقلقة التي رصدها محللو الأمن السيبراني عملية احتيال مدفوعات التعويضات على موقع Blockchain.com. مُتنكرةً بتصميم احترافي وروايات مُقنعة، تتلاعب هذه العملية بالضحايا لدفعهم إلى الكشف عن معلوماتهم الشخصية ودفع مبالغ مالية بحججٍ...

برنامج BEARDSHELL الخبيث

البرمجيات الخبيثة, التهديد المستمر المتقدم (APT), الأبواب الخلفية
أصدر فريق الاستجابة لطوارئ الحاسوب في أوكرانيا (CERT-UA) تحذيرًا بشأن حملة هجوم إلكتروني جديدة تُدبّرها مجموعة APT28، وهي مجموعة تهديد مرتبطة بروسيا وتُعرف أيضًا باسم UAC-0001. تستخدم هذه العملية...

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
35,625
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...