في تطور جديد في عالم الأمن السيبراني، كشف باحثون عن حملة خبيثة تستخدم موقعاً وهمياً يروج لبرمجيات مكافحة الفيروسات من بيتدفندر (Bitdefender) لخداع الضحايا وتحميل برنامج التحكم عن بعد الخبيث المعروف باسم فينوم رات (Venom RAT).
تحليل الحملة وأهدافها
تشير التقارير إلى أن هذه الحملة تستهدف الأفراد لتحقيق مكاسب مالية من خلال اختراق بياناتهم الشخصية، بما في ذلك محافظ العملات الرقمية، وقد تصل إلى بيع الوصول إلى أنظمتهم. وبحسب فريق دومين تولز إنتليجنس (DomainTools Intelligence)، فإن الموقع المعني “bitdefender-download[.]com”، يروج لتحميل نسخة من برنامج مكافحة الفيروسات لنظام ويندوز. عند النقر على زر “تحميل لنظام ويندوز”، يتم تنزيل ملف من مستودع بيتباكت (Bitbucket) الذي يوجه المستخدم إلى سحابة أمازون S3. يُذكر أن حساب بيتباكت لم يعد نشطاً.
تفاصيل التقنية والتهديدات
يحتوي الأرشيف المضغوط المسمى “BitDefender.zip” على ملف تنفيذي يُدعى “StoreInstaller.exe”، يتضمن تكوينات البرامج الضارة المرتبطة بـ فينوم رات (Venom RAT)، بالإضافة إلى كود متعلق بإطار الاستغلال مفتوح المصدر سايلنت ترينيتي (SilentTrinity) وأداة ستورم كيتي (StormKitty) لسرقة البيانات.
يُعتبر فينوم رات (Venom RAT) امتدادًا لـ كواسار رات (Quasar RAT) ويتميز بقدراته على جمع البيانات وتوفير وصول عن بعد للمهاجمين. وأوضحت شركة دومين تولز أن الموقع الوهمي الذي يتظاهر بأنه بيتدفندر يتشارك في البنية التحتية والجدول الزمني مع نطاقات خبيثة أخرى تستخدم في أنشطة التصيد الاحتيالي لجمع بيانات تسجيل الدخول المرتبطة ببنك كندا الملكي ومايكروسوفت.
الأساليب المتطورة في الهجمات الإلكترونية
تعمل هذه الأدوات معًا: يتسلل فينوم رات (Venom RAT)، وتقوم ستورم كيتي (StormKitty) بسرقة كلمات المرور ومعلومات المحفظة الرقمية، بينما يضمن سايلنت ترينيتي (SilentTrinity) بقاء المهاجم مخفيًا والحفاظ على السيطرة. وتؤكد هذه الحملة على اتجاه دائم: المهاجمون يستخدمون برمجيات خبيثة متطورة ومبنية من مكونات مفتوحة المصدر. هذا النهج “ابني برمجياتك الخبيثة بنفسك” يجعل هذه الهجمات أكثر فعالية، وسرية، وقابلة للتكيف.
الحملات المماثلة والتقنيات المستخدمة
تأتي هذه الإفصاحات في وقت حذرت فيه شركة سكيوري (Sucuri) من حملة على غرار كليك فيكس (ClickFix) التي تستخدم صفحات جوجل ميت (Google Meet) المزيفة لخداع المستخدمين لتثبيت برنامج رات (RAT) باستخدام دفعة باتش ويندوز مشفرة بشكل كبير تمنح السيطرة عن بعد على حاسوب الضحية.
كما لوحظ ارتفاع في هجمات التصيد الاحتيالي التي تستغل منصة تطوير التطبيقات بدون كود AppSheet من جوجل لتنفذ حملة مستهدفة بشدة تتظاهر بأنها من شركة ميتا. باستخدام تقنيات متقدمة مثل معرفات متعددة الأشكال وآليات وكيل المتطفل في الوسط، يسعى المهاجمون لجمع بيانات الاعتماد ورموز المصادقة الثنائية (2FA)، مما يمكنهم من الوصول الفوري إلى حسابات وسائل التواصل الاجتماعي.
التفاعل والمناقشة
مع تزايد تعقيد الهجمات وتطور تقنيات الاحتيال، كيف يمكن للمستخدمين والشركات تعزيز دفاعاتهم ضد مثل هذه التهديدات المتقدمة؟
لمزيد من الأخبار والمقالات الحصرية، تابعونا على تويتر وفيسبوك.
شاركنا رأيك بتعليق