كشفت تحليلات أمنية حديثة عن حملة تصيد احتيالي متطورة تستخدم تقنيات متعددة لتوصيل برمجيات الخبيثة “Agent Tesla”، وهي إحدى عائلات البرامج الضارة الأكثر انتشاراً لسرقة بيانات الاعتماد، وذلك دون ترك أي أثر تقريباً على أجهزة الضحايا.
تعتمد الحملة على رسائل البريد الإلكتروني ذات الطابع التجاري، والبرمجيات النصية المشفرة، والتنفيذ في الذاكرة، بهدف سرقة البيانات الحساسة من مستخدمي نظام ويندوز بأسلوب خفي.
تُعد برمجية Agent Tesla، النشطة منذ عام 2014، أداة مفضلة لدى مجرمي الإنترنت نظراً لنموذج “البرمجيات كخدمة” (Malware-as-a-Service) الذي يسمح حتى للمهاجمين ذوي المهارات المنخفضة بنشرها دون الحاجة إلى بناء شيء من الصفر. تعمل هذه البرمجية على سرقة بيانات الاعتماد من المتصفحات، وتسجيل ضربات المفاتيح، واستخراج تفاصيل حسابات البريد الإلكتروني، ومن ثم إرسال هذه البيانات سراً إلى خادم يتحكم به المهاجم.
على الرغم من شهرة Agent Tesla، إلا أنها تستمر في تحديث طرق توصيلها للبقاء متقدمة على الدفاعات التقليدية. ما يميز هذه الحملة الأخيرة، وفقاً لباحثي Fortinet، هو ليس البرمجية نفسها بل خط الأنابيب المتعدد المراحل الذي تم بناؤه لتوصيلها.
أحدث حملات Agent Tesla تعتمد على التنفيذ في الذاكرة لتجنب الكشف
تمر سلسلة الهجوم عبر مراحل متعددة، كل منها مصمم للالتفاف على الكشف في نقطة مختلفة، بدءاً من رسالة البريد الإلكتروني الأولى وحتى تشغيل الحمولة النهائية بالكامل داخل الذاكرة. يوضح هذا المستوى من التخطيط أن المهاجمين يفهمون كيفية عمل أدوات الحماية القياسية وقد صمموا السلسلة عمداً لتجنبها.
تبدأ الحملة برسالة بريد إلكتروني تصيدية تنتحل صفة استفسار تجاري، مع عنوان مثل “أمر شراء جديد PO0172”. المرفق هو ملف RAR مضغوط (PO0172.rar) يحتوي على ملف JScript مشفر (PO0172.jse). استخدام ملف .jse بدلاً من ملف تنفيذي هو متعمد؛ حيث أن معظم فلاتر البريد الإلكتروني تمنع ملفات .exe أو .bat، لكنها تسمح بمرور الملفات النصية.
.webp.png)
بمجرد فتح الملف، يبدأ الهجوم تلقائياً دون الحاجة إلى أي تفاعل إضافي من الضحية. البيانات المسروقة تُرسل في النهاية إلى خادم القيادة والتحكم الخاص بالمهاجم على العنوان mail[.]taikei-rmc-co[.]biz عبر SMTP، متبعةً السلسلة التالية: بريد إلكتروني → مرفق RAR → محمل JScript (.jse) → PowerShell (تم تنزيله) → PowerShell (في الذاكرة) → محمل .NET (في الذاكرة) → حمولة Agent Tesla .NET (في الذاكرة).
تقنيات التنفيذ في الذاكرة والتهرب من الكشف
الجزء الأكثر تطوراً في هذه الحملة هو كيفية الانتقال من نص برمجي بسيط إلى حمولة قيد التشغيل دون كتابة أي شيء على القرص. بعد تشغيل ملف JSE، يتصل بخادم catbox[.]moe ويجلب سكربت PowerShell مشفر.
يستخدم السكربت وظيفة فك تشفير AES-CBC مخصصة تسمى Invoke-AESDecryption مع حشو PKCS7 لفك ضغط المرحلة التالية مباشرة داخل الذاكرة. من خلال البقاء بالكامل في الذاكرة، فإن الهجوم لا يترك أي ملفات لأدوات الأمان لمسحها.
.webp.jpeg)
يقوم سكربت PowerShell للمرحلة الثانية بتنفيذ عملية “تفريغ العملية” (process hollowing) لملف aspnet_compiler.exe، وهو أداة .NET موثوقة من ويندوز موجودة في المسار C:WindowsMicrosoft.NETFrameworkv4.0.30319. تقوم هذه العملية بإطلاق العملية في حالة معلقة، ومسح ذاكرتها، ثم حقن حمولة Agent Tesla بدلاً منها. نظراً لأن البرمجية الضارة تعمل تحت اسم عملية موثوقة، فلن تكتشفها الأدوات المبنية على التوقيعات.
.webp.png)
قبل جمع البيانات، تتحقق Agent Tesla من بيئتها للتأكد من أنها لا تخضع للتحليل. تقوم بالاستعلام من WMI للكشف عن وجود VMware أو VirtualBox أو Hyper-V، وتبحث عن ملفات DLL مثل snxhk.dll (Avast)، و SbieDll.dll (Sandboxie)، و cmdvrt32.dll (Comodo). إذا تم العثور على أي منها، فقد تتوقف البرمجية عن العمل تماماً للحفاظ على البنية التحتية الخاصة بها مخفية.
.webp.png)
بعد التأكد من خلو البيئة، تقوم البرمجية بجمع ملفات تعريف الارتباط للمتصفح، وبيانات الاعتماد المحفوظة، وجهات الاتصال، ثم تقوم بتجميعها في ملفات نصية وإرسالها عبر SMTP.
يُنصح فرق الأمن بحظر مرفقات البريد الإلكتروني النصية مثل ملفات .jse و .js عند بوابة الشبكة، وفرض قيود على تنفيذ PowerShell من خلال السياسات. كما أن أدوات نقطة النهاية التي تكشف عن الحقن المستند إلى الذاكرة وتفريغ العمليات تعتبر حاسمة في اكتشاف التهديدات التي تتجنب الكتابة على القرص. يجب مراقبة حركة مرور SMTP الصادرة بحثاً عن علامات لوجود استخراج نشط للبيانات.
يظل التدريب المنتظم للموظفين على الوعي بمخاطر التصيد الاحتيالي أحد أكثر الدفاعات موثوقية ضد حملات الهندسة الاجتماعية مثل هذه.
تابعنا على Google News، LinkedIn، و X للمزيد من التحديثات الفورية، اجعل CSN مصدراً مفضلاً في Google.
