في عالم الأمن السيبراني المتطور، تواصل مجموعة لازاروس الشهيرة المرتبطة بكوريا الشمالية، ابتكار أساليب جديدة لاستهداف القطاعات الحيوية. في الآونة الأخيرة، اكتشفت شركة بيتديفندر حملة نشطة تعتمد على عروض وظائف وهمية عبر شبكة الأعمال الاجتماعية الشهيرة، لاستهداف العاملين في قطاعي العملات الرقمية والسفر. هذه الحملة تستهدف أنظمة التشغيل ويندوز وماك أو إس ولينكس عبر نشر برمجيات خبيثة.
أساليب الهجوم: من الوظائف الوهمية إلى البرمجيات الخبيثة
تبدأ الحملة برسالة مغرية تُرسَل عبر شبكة اجتماعية مهنية، تعد بالعمل عن بُعد ومرونة الوقت ورواتب جيدة. عند إبداء الضحية اهتمامه، يطلب المحتالون إرسال السيرة الذاتية أو رابط لمستودع شخصي على GitHub، مما قد يبدو بريئًا ولكنه يمكن أن يسفر عن جمع بيانات شخصية أو إضفاء شرعية زائفة على التفاعل.
بمجرد الحصول على المعلومات المطلوبة، ينتقل الهجوم إلى المرحلة التالية، حيث يشارك المهاجم، تحت ستار مجند، رابطًا لمستودع GitHub أو Bitbucket يحتوي على نسخة تجريبية لمشروع تبادل لامركزي (DEX) مزعوم، ويطلب من الضحية فحصه وتقديم الملاحظات.
البرمجيات الخبيثة: أدوات متعددة الأوجه
داخل الكود المقدم، يوجد سكربت مشفر مصمم لجلب حمولة أخرى من موقع api.npoint[.]io، وهي أداة سرقة معلومات مبنية على الجافا سكربت، قادرة على جمع بيانات من ملحقات محفظات العملات الرقمية المثبتة على متصفح الضحية. كما يعمل السكربت كمحمل لجلب بوابة خلفية مبنية على بايثون، مسؤولة عن مراقبة تغييرات محتوى الحافظة، والحفاظ على وصول عن بُعد مستمر، وإسقاط برمجيات إضافية.
تحليل التهديد: تعقيد الهجمات وانتشارها
تتسم سلسلة العدوى التي ينفذها المهاجمون بتعقيد كبير، حيث تحتوي على برمجيات خبيثة مكتوبة بلغات برمجة متعددة وتستخدم تقنيات متنوعة، مثل سكربتات بايثون متعددة الطبقات التي تقوم بفك تشفير وتنفيذ نفسها بشكل متكرر، وسارق معلومات جافا سكربت يبدأ بجمع بيانات المتصفح قبل الانتقال إلى حمولات أخرى، وملفات تشغيل .NET قادرة على تعطيل أدوات الأمان وتكوين بروكسي Tor وتشغيل أدوات لتعدين العملات الرقمية.
الانتشار والانتشار: تكتيكات متنوعة
تشير التقارير المتداولة على LinkedIn وReddit إلى أن هذه الجهود منتشرة على نطاق واسع، مع تعديلات طفيفة في سلسلة الهجوم. في بعض الحالات، يُطلب من المرشحين نسخ مستودع Web3 وتشغيله محليًا كجزء من عملية المقابلة، بينما يُطلب في حالات أخرى تصحيح أخطاء مُدخلة عمدًا في الكود.
التداعيات الأمنية: الدروس المستفادة والتدابير الوقائية
تبرز هذه الهجمات الحاجة الملحة لتعزيز الوعي السيبراني لدى الأفراد والمؤسسات على حد سواء، خاصة في القطاعات الحساسة مثل العملات الرقمية والسفر. يجب على المؤسسات تعزيز إجراءات التحقق من الهوية وتطبيق أفضل ممارسات الأمن السيبراني لحماية بياناتها وعملائها.
أسئلة للنقاش
كيف يمكن للمؤسسات تحسين استراتيجياتها لاكتشاف ومنع مثل هذه الهجمات السيبرانية المعقدة؟ وما هي الخطوات التي يمكن للأفراد اتخاذها لحماية أنفسهم من الوقوع ضحايا لمثل هذه الحيل؟
شاركنا رأيك بتعليق