أطلقت مجموعات قرصنة حملة تصيد احتيالي جديدة خطيرة تستهدف المؤسسات تحت شعار “جائزة تنفيذية”، تجمع بين الهندسة الاجتماعية المتقدمة وعمليات تسليم البرمجيات الخبيثة. تهدف هذه الحملة إلى خداع الموظفين للكشف عن بيانات اعتمادهم، مما يفتح الباب أمام سرقة المعلومات.
تتضمن هذه العملية الهجومية مرحلتين، حيث تقوم أولاً بخداع الضحايا لمشاركة بيانات تسجيل الدخول الخاصة بهم عبر صفحة ويب مزيفة، ثم تقوم بتنفيذ برمجية “Stealerium” الخبيثة لسرقة المعلومات واختراق الأنظمة المتضررة. يمثل هذا التطور اتجاهًا متزايدًا حيث يدمج المهاجمون سرقة بيانات الاعتماد مع الإصابة بالبرمجيات الخبيثة في عملية منسقة واحدة.
حملة “الجائزة التنفيذية”: نظرة على آلية الهجوم
تبدأ الحملة بصفحة تصيد احتيالي مصممة بعناية بعنوان “Virtual-Gift-Card-Claim.html”، تحاكي إشعار جائزة تنفيذية رسمية للمؤسسات. يعتقد المستخدمون عند تفاعلهم مع هذه الصفحة أنهم يتحققون من بيانات حساباتهم للمطالبة بجائزة، لكن المعلومات يتم إرسالها فورًا إلى خادم قيادة وتحكم عبر تطبيق “تليجرام” تديره الجهات المهاجمة.
مرحلة حصاد بيانات الاعتماد هذه هي الخطوة الأولى في سلسلة الإصابة. يكشف محللو الأمن في SpiderLabs عن البرمجية الخبيثة بعد تحليل البنية التحتية للحملة وأنماط الهجوم. اكتشف الباحثون أنه بمجرد وقوع المستخدم في فخ صفحة التصيد، يتم تسليم ملف SVG خبيث اسمه “account-verification-form.svg” في المرحلة الثانية.
يقوم هذا الملف بتنشيط برنامج نصي متطور عبر PowerShell، والذي يعمل من خلال سلسلة استغلال “ClickFix”، وهي تقنية معروفة تستغل أنظمة المراسلة في ويندوز لتنفيذ أوامر مخفية. يقوم برنامج PowerShell النصي بعد ذلك بتنزيل وتثبيت برمجية “Stealerium” لسرقة المعلومات على جهاز الضحية دون علمه أو موافقته.
برمجية Stealerium: تهديد متزايد لسرقة البيانات
تُمثل برمجية “Stealerium” تهديداً خطيراً، حيث تعمل بصمت لاستخراج المعلومات الحساسة من الأنظمة المخترقة. تتواصل البرمجية الخبيثة مع خوادم القيادة والتحكم على العنوان 31.57.147.77:6464، وتستخدم نقاط وصول متعددة لجلب مكونات وأوامر إضافية. تسمح هذه البنية للمهاجمين بتكييف هجومهم في الوقت الفعلي بناءً على حالة النظام وإجراءات الأمان المعمول بها.
تكمن قوة الهجوم في استخدامه لميزات ويندوز الشرعية ضد المستخدمين. عند فتح ملف SVG الخبيث، يتم تنفيذ أوامر PowerShell المضمنة بأقل قدر من الوضوح. تستغل سلسلة “ClickFix” بروتوكولات مراسلات ويندوز الشرعية لتشغيل التنفيذ دون إثارة تنبيهات الأمان المعتادة.
الحماية والوقاية
من هناك، تقوم “Stealerium” بتنزيل مكونات إضافية، بما في ذلك ملف DLL الرئيسي، وملفات الدُفعات، وملفات تنفيذ الأوامر. ثم تنشئ البرمجية آلية ثبات، لضمان بقائها بعد إعادة تشغيل النظام واستمرار سرقة البيانات.
يجب على المؤسسات مراقبة نشاط PowerShell غير المعتاد، وتنفيذ ملفات SVG المشبوهة، والاتصالات الشبكية إلى البنية التحتية المعروفة للقيادة والتحكم على العنوان 31.57.147.77:6464. يجب تكوين أنظمة اكتشاف نقطة النهاية للإبلاغ عن محاولات تنفيذ أوامر PowerShell من مصادر غير قياسية.
يجب أن تركز مراقبة الشبكة على حظر الوصول إلى عناوين IP الخبيثة المعروفة ومراقبة طلبات DNS المرتبطة بهذه الحملة. يجب على المستخدمين البقاء متيقظين بشأن رسائل البريد الإلكتروني غير المرغوب فيها التي تدعي الحصول على تقدير تنفيذي أو إشعارات جوائز، حيث لا تزال هذه تشكل نواقل فعالة للهندسة الاجتماعية.