تهديد متجدد: برمجيات خبيثة تستغل ثغرات قديمة بطرق جديدة
ويشمل ذلك سلاسل البريد الإلكتروني المخترقة كعدوى أولية، وعناوين URL ذات أنماط فريدة تحد من وصول المستخدم، وسلسلة عدوى مماثلة تقريبًا لما رأيناه مع تسليم QakBot،" Cofense قال في تقرير تمت مشاركته مع The Hacker News.
متابعه_مكسي نيوز
برمجيات…تتبع حملات التصيد الاحتيالي التي تقدم عائلات البرامج الضارة مثل DarkGate وPikaBot نفس التكتيكات المستخدمة سابقًا في الهجمات التي تستفيد من حصان طروادة QakBot الذي لم يعد موجودًا الآن.
“ويشمل ذلك سلاسل البريد الإلكتروني المخترقة كعدوى أولية، وعناوين URL ذات أنماط فريدة تحد من وصول المستخدم، وسلسلة عدوى مماثلة تقريبًا لما رأيناه مع تسليم QakBot،” Cofense قال في تقرير تمت مشاركته مع The Hacker News.
“إن عائلات البرامج الضارة المستخدمة تحذو حذو ما نتوقع أن تستخدمه الشركات التابعة لـ QakBot.”
تم إغلاق QakBot، الذي يُطلق عليه أيضًا QBot وPinkslipbot، كجزء من جهد منسق لإنفاذ القانون أطلق عليه اسم Operation Duck Hunt في وقت سابق من أغسطس هذا.
إن استخدام DarkGate وPikaBot في هذه الحملات ليس مفاجئًا حيث يمكن أن يعمل كلاهما كقنوات لتوصيل حمولات إضافية إلى المضيفين المخترقين، مما يجعلهما خيارًا جذابًا لمجرمي الإنترنت.
وقد سلطت Zscaler الضوء سابقًا على أوجه التشابه بين PikaBot وQakBot في تحليلها للبرامج الضارة في مايو 2023، مع ملاحظة أوجه التشابه في “طرق التوزيع والحملات وسلوكيات البرامج الضارة”.
تتضمن DarkGate، من جانبها، تقنيات متقدمة لتجنب اكتشافها بواسطة أنظمة مكافحة الفيروسات، إلى جانب إمكانات تسجيل ضغطات المفاتيح، وتنفيذ PowerShell، وتنفيذ غلاف عكسي يسمح لمشغليها بالسيطرة على مضيف مصاب عن بعد.
“الاتصال ثنائي الاتجاه، مما يعني أنه يمكن للمهاجمين إرسال الأوامر وتلقي الاستجابات في الوقت الفعلي، مما يمكنهم من التنقل في نظام الضحية، أو استخراج البيانات، أو تنفيذ إجراءات ضارة أخرى،” سيكويا قال في تقرير فني جديد عن البرمجيات الخبيثة.
يُظهر تحليل Cofense لحملة التصيد الاحتيالي كبيرة الحجم أنها تستهدف مجموعة واسعة من القطاعات، حيث تنشر سلاسل الهجوم عنوان URL مفخخًا يشير إلى أرشيف ZIP في سلاسل رسائل البريد الإلكتروني المختطفة.
يحتوي أرشيف ZIP على قطارة JavaScript التي تتصل بدورها بعنوان URL ثانٍ لتنزيل وتشغيل البرنامج الضار DarkGate أو PikaBot.
وقد لوحظ أن أحد أشكال الهجمات الجديرة بالملاحظة يستغل ملفات Excel الإضافية (XLL) بدلاً من برامج تشغيل JavaScript لتسليم الحمولات النهائية.
وقال Cofense: “قد تؤدي الإصابة الناجحة بـ DarkGate أو PikaBot إلى تسليم برامج تعدين العملات المشفرة المتقدمة، أو أدوات الاستطلاع، أو برامج الفدية، أو أي ملف ضار آخر يرغب ممثلو التهديد في تثبيته على جهاز الضحية”.
