يستخدم المتسللون الصور لإخفاء البرامج الضارة ونشر VIP Keylogger و 0bj3ctivity Stealer
وفقًا لتقرير Threat Insights Report الصادر عن شركة HP Wolf Security للربع الثالث من عام 2024، فإن مجرمو الإنترنت يرفعون تكتيكاتهم الخفية إلى المستوى التالي من خلال تضمين التعليمات البرمجية الضارة في ملفات الصور لتوصيل البرامج الضارة مثل VIP Keylogger و0bj3ctivity Stealer. تستغل هذه الحملات المتطورة منصات موثوقة مثل Archive.org لتوزيع البرامج الضارة مع تجاوز طرق الكشف التقليدية.
جدول المحتويات
كيف يعمل الهجوم: البرامج الضارة مخفية في الصور
تبدأ الحملات برسالة بريد إلكتروني احتيالية مصممة لخداع الضحايا لفتح مرفقات ضارة . غالبًا ما تحاكي رسائل البريد الإلكتروني هذه الفواتير أو أوامر الشراء لبناء المصداقية. بمجرد فتح المرفق، يؤدي ذلك إلى استغلال ثغرة Microsoft Equation Editor القديمة ( CVE-2017-11882 ) لتنزيل ملف VBScript.
سلسلة الهجوم
- رسائل البريد الإلكتروني الاحتيالية : يتلقى الضحايا رسالة بريد إلكتروني خادعة تحتوي على مرفقات ضارة.
- تنفيذ VBScript : يقوم VBScript الذي تم تنزيله بتشغيل البرنامج النصي PowerShell.
- استرجاع الصورة : يقوم PowerShell بتنزيل صورة من Archive.org.
- استخراج التعليمات البرمجية الضارة : تحتوي الصورة على برامج ضارة مشفرة بتنسيق Base64 يتم استخراجها وفك تشفيرها إلى ملف قابل للتنفيذ بتنسيق .NET.
- تسليم الحمولة : يقوم محمل .NET بتثبيت الحمولة النهائية للبرامج الضارة.
في الحملة الأولى، الحمولة هي VIP Keylogger، وهي أداة مصممة لالتقاط ضغطات المفاتيح ومحتوى الحافظة ولقطات الشاشة وبيانات الاعتماد. في الحملة الثانية، الحمولة هي 0bj3ctivity Stealer، وهي برمجية خبيثة لسرقة المعلومات.
مجموعات البرامج الضارة تخفف من الحواجز أمام المهاجمين
تشير أوجه التشابه بين الحملتين إلى أن مجرمي الإنترنت يستغلون مجموعات البرامج الضارة. تعمل هذه المجموعات على تبسيط عملية الهجوم، مما يقلل من الخبرة الفنية المطلوبة لتنفيذ سلاسل العدوى المعقدة. يعكس هذا الاتجاه زيادة تسليع الجرائم الإلكترونية، حيث تسهل الأدوات المعدة مسبقًا حتى للمهاجمين المبتدئين نشر البرامج الضارة.
التقنيات الإضافية المستخدمة
كما حددت شركة HP Wolf Security تهريب HTML كتكتيك تكميلي. وفي هذه الطريقة، يقدم المهاجمون برامج ضارة مثل XWorm RAT باستخدام أدوات AutoIt المخفية في ملفات HTML الضارة. ويقال إن بعض هذه الملفات تم إنشاؤها باستخدام أدوات GenAI، مما يوضح كيف يتم استخدام الذكاء الاصطناعي لتعزيز توصيل البرامج الضارة والتعتيم عليها.
حملات GitHub تقدم سارق Lumma
وشملت حملة أخرى جديرة بالملاحظة استخدام مستودعات GitHub التي كانت بمثابة مصادر لغش ألعاب الفيديو وأدوات التعديل. وقد قامت هذه المستودعات بتوزيع برمجيات Lumma Stealer الخبيثة سراً عبر برامج إسقاط تعتمد على .NET، مما يسلط الضوء على كيفية استغلال المهاجمين للمنصات الشعبية لاستهداف المستخدمين غير المطلعين.
لماذا تشكل الهجمات المستندة إلى الصور تهديدًا؟
إن تضمين البرامج الضارة في الصور هو تقنية تُعرف باسم التخفي، والتي تخفي التعليمات البرمجية الضارة في ملفات تبدو غير ضارة. وتتجاوز هذه الطريقة العديد من أنظمة مكافحة الفيروسات، والتي من غير المرجح أن تفحص ملفات الصور. كما أن استخدام منصات الاستضافة الموثوقة مثل Archive.org يزيد من تعقيد جهود الكشف.
استراتيجيات التخفيف للمنظمات
للدفاع ضد هذه التهديدات المتطورة، ينبغي على المنظمات تنفيذ التدابير التالية:
- تصحيح الثغرات الأمنية المعروفة : معالجة الثغرات الأمنية القديمة في البرامج مثل CVE-2017-11882.
- تمكين اكتشاف التهديدات المتقدمة : استخدم الحلول القادرة على اكتشاف التضليل وسلوك الملفات المشبوهة.
- تثقيف الموظفين : تدريب الموظفين على التعرف على رسائل البريد الإلكتروني الاحتيالية وتجنب فتح المرفقات غير المتوقعة.
- تقييد الوصول إلى المصادر الموثوقة : تقييد استخدام منصات مشاركة الملفات على المجالات المعتمدة.
تزايد تسليع الجرائم الإلكترونية
مع تزايد إمكانية الوصول إلى أدوات البرمجيات الخبيثة، أصبح المهاجمون من جميع مستويات المهارة قادرين على تجميع سلاسل عدوى فعّالة. ويؤدي دمج أدوات الذكاء الاصطناعي في إنشاء البرمجيات الخبيثة إلى تضخيم التحدي الذي يواجه المدافعين عن الأمن السيبراني، مما يجعل الهجمات أكثر تنوعًا ويصعب نسبها.
تؤكد نتائج HP Wolf Security على ضرورة البقاء في طليعة هذه التهديدات المتطورة. ومن خلال تبني استراتيجيات دفاعية استباقية ومراقبة التكتيكات الناشئة، تستطيع المؤسسات حماية شبكاتها بشكل أفضل ضد هذه الحملات المعقدة.