🚧 Cybrat is a sub-brand of SySOC s.r.o. and is currently in beta phase
🚧 سيبرات علامة فرعية مملوكة لشركة سيسوك وتعمل حالياً ضمن المرحلة التجريبية

CYBRAT

ســيــبــرات

لأن الأمان يبدأ بالمعلومة

,

حملة التصيد الإلكتروني الجديدة: كيف يستغل المهاجمون الصور الوهمية لسرقة البيانات

2–3 minutes

في عالم تزداد فيه التهديدات الإلكترونية تعقيدًا، اكتشف الباحثون في مجال الأمن السيبراني حملة تصيد واسعة النطاق تستخدم صورًا وهمية لـ (CAPTCHA) ومشاركتها عبر ملفات (PDF) مستضافة على شبكة توزيع المحتوى (CDN) الخاصة بـ Webflow لنشر برمجية خبيثة تُعرف بـ “لومما ستيلر” (Lumma Stealer).

تحليل مفصل وسياق الحملة

كشفت مختبرات تهديدات نتسكوپ (Netskope Threat Labs) عن 260 نطاقًا فريدًا تستضيف 5000 ملف PDF خبيث يقوم بإعادة توجيه الضحايا إلى مواقع ضارة. وفقًا للباحث الأمني جان مايكل ألكانتارا، يستغل المهاجمون تحسين محركات البحث (SEO) لخداع الضحايا للضغط على نتائج بحث خبيثة.

تستهدف الهجمات بشكل كبير قطاعات التكنولوجيا والخدمات المالية والتصنيع، خاصة في أمريكا الشمالية وآسيا وجنوب أوروبا. وتنتشر الحملة منذ النصف الثاني من عام 2024، متسببة في تأثير على أكثر من 1150 منظمة و7000 مستخدم.

آلية عمل الهجوم وتأثيره

تركز صفحات التصيد عادة على سرقة معلومات بطاقات الائتمان، إلا أن بعض ملفات PDF تحتوي على صور وهمية لـ (CAPTCHA) لتخدع الضحايا في تنفيذ أوامر PowerShell الخبيثة، مما يؤدي في النهاية إلى نشر برمجية “لومما ستيلر”.

يتم تحميل بعض هذه الملفات PDF على مكتبات على الإنترنت ومستودعات مثل PDFCOFFEE وPDF4PRO وPDFBean وInternet Archive، مما يجعل المستخدمين الذين يبحثون عن مستندات PDF عبر محركات البحث عرضة للوقوع في الفخ.

تستغل المواقع هذه التقنية لخداع المستخدمين في تشغيل أوامر MSHTA التي تنفذ البرمجية الخبيثة باستخدام سكربت PowerShell. في الأسابيع الأخيرة، تم تمويه “لومما ستيلر” في شكل ألعاب Roblox وإصدارات مكسورة من أدوات مثل Total Commander لنظام ويندوز، مما يبرز التنوع في أساليب التوزيع المستخدمة.

تحليلات الخبراء والاتجاهات الحالية

لاحظت شركة الأمن السيبراني أن سجلات “لومما ستيلر” يتم مشاركتها مجانًا على منتدى قرصنة جديد يسمى Leaky[.]pro، والذي بدأ العمل في أواخر ديسمبر 2024. يُعد “لومما ستيلر” حلًا متكاملًا للجريمة الإلكترونية يُباع كنموذج (MaaS)، مما يوفر وسيلة لجمع مجموعة واسعة من المعلومات من الأجهزة المضيفة المصابة بنظام ويندوز.

في أوائل عام 2024، أعلن مشغلو البرمجية عن تكامل مع برمجية خبيثة تعتمد على Golang تُعرف بـ “جوست سوكس” (GhostSocks)، مما يزيد من قيمة البرمجية في مرحلة ما بعد الاختراق.

الاتجاهات المستقبلية والأسئلة للنقاش

مع استمرار تزايد تعقيد هجمات التصيد، ما هي الاستراتيجيات التي يمكن للشركات استخدامها لحماية نفسها بشكل أكثر فعالية؟

للمزيد من المعلومات حول تهديدات الأمن السيبراني، تابعونا على فيسبوك وX.

اكتشف المزيد مع سيبرات

اشترك ليصلك أحدث المنشورات على بريدك الإلكتروني

شاركنا رأيك بتعليق

المقالات الرائجة

اكتشف المزيد مع سيبرات

اشترك الآن للاستمرار في القراءة والحصول على الوصول الكامل إلى الأرشيف

تابع القراءة