كشف هوية المتسللين وراء أداة Apomacrosploit لتوليد البرمجيات الخبيثة
يقال إن حوالي 40 من المتسللين في المجموع يقفون وراء العملية ، مع استخدام 100 مرسلين بريد إلكتروني مختلف في عدد كبير من الهجمات التي تستهدف المستخدمين في أكثر من 30 دولة مختلفة. شوهدت الهجمات لأول مرة في نهاية نوفمبر 2020 ، وفقًا لشركة Chection Point لشركة الأمن السيبراني.
متابعات-ميكسي نيوز
Apomacrosploit….كشف باحثو الأمن السيبراني عن نوع جديد من البرامج الضارة المكتبية الموزعة كجزء من حملة بريد إلكتروني ضارة استهدفت أكثر من 80 عميلًا في جميع أنحاء العالم في محاولة للسيطرة على آلات الضحايا وسرقة المعلومات عن بُعد.
الأداة – المدبلجة “apomacrosploit“-هو مولد استغلال الماكرو يسمح للمستخدم بإنشاء مستند Excel قادر على تجاوز برامج مكافحة الفيروسات ، وواجهة Windows Antimalware Scan (AMSI) ، وحتى Gmail وغيرها من الكشف عن التصيد القائم على البريد الإلكتروني.
يُعتقد أن Apomacrosploit هو عمل ممثلين تهديدين مقرهما فرنسيين “Apocaliptique” و “Nitrix” ، الذين يقدرن أنهما ما لا يقلون عن 5000 دولار في أقل من شهرين لبيع المنتج على Hackforums.net.
يقال إن حوالي 40 من المتسللين في المجموع يقفون وراء العملية ، مع استخدام 100 مرسلين بريد إلكتروني مختلف في عدد كبير من الهجمات التي تستهدف المستخدمين في أكثر من 30 دولة مختلفة. شوهدت الهجمات لأول مرة في نهاية نوفمبر 2020 ، وفقًا لشركة Chection Point لشركة الأمن السيبراني.
وقالت الشركة في تقرير يوم الثلاثاء: “تبدأ العدوى الخبيثة عندما يتم تمكين المحتوى الديناميكي لمستند XLS المرفق ، ويبدأ ماكرو XLM تلقائيًا في تنزيل نص أمر Windows System”.
يتم استرداد البرنامج النصي لأمر النظام هذا من cutt.ly ، والذي يوجه إلى الخوادم التي تستضيف نصوص مضرب متعددة لها اسم العملاء المرفقين بأسماء الملفات. تكون البرامج النصية مسؤولة أيضًا عن تنفيذ البرامج الضارة (“fola.exe”) على أنظمة Windows ، ولكن ليس قبل إضافة موقع البرامج الضارة في مسار الاستبعاد لمدافع Windows وتعطيل Windows.
في واحدة من الهجمات ، تم العثور على البرامج الضارة-وهو CRYPTER DELPHI يتبعه طروادة وصول عن بُعد في المرحلة الثانية تسمى Bitrat-على موقع ويب بلغاري يخدم المعدات واللوازم الطبية ، مما يعني أن المهاجمين قد انتهكوا الموقع الإلكتروني لتخزين الخيل.
فكرة استخدام “criptersأصبح “أو” Packers “شائعًا بشكل متزايد بين ممثلي التهديدات ليس فقط لضغط ولكن أيضًا لجعل عينات البرمجيات الضارة أكثر تهربًا وعكسيًا.
Bitrat، الذي تم توثيقه رسميًا في شهر أغسطس الماضي ، يأتي مع ميزات لعملات المشفرات ، وكاميرات الويب الاختراق ، وضربات المفاتيح السجل ، وتنزيل الملفات التعسفية وتحميلها ، والتحكم في النظام عن بُعد عبر خادم القيادة والسيطرة ، والذي تم حله في هذه الحالة إلى مجال فرعي لموقع بلغاريا الشرعي لنظم الفيديو.
تضمنت مزيد من التحقيقات التي أجراها Check Point مطاردة المسار الرقمي الذي تركه المشغلان – بما في ذلك ملامح لاعبي League of Legends – في النهاية مما دفع الباحثين إلى كشف الهوية الحقيقية للنيترات ، الذي كشف عن اسمه الفعلي على Twitter عندما نشر صورة لتذكرة اشتراها لحفل موسيقي في ديسمبر 2014.
على الرغم من أن Nitrix هو مطور برامج من Grand-Grand مع خبرة أربع سنوات كمطور برامج ، فإن استخدام Apocaliptique لأسماء بديلة مثل “APO93” أو “Apocaliptique93” قد أثار إمكانيات أن يكون الفرد أيضًا مقيمًا فرنسيًا ، حيث أن “93” هو الاسم الراعي للزجاج الفرنسي للفرنسية نهر سياين-دينيس.
وقالت أبحاث Check Point إنها نبهت سلطات إنفاذ القانون حول هويات المهاجمين.
