هجوم تصيد ضخم: Storm-0900 يستغل تذاكر وقوف السيارات ونتائج الفحص الطبي
كشف تقرير حديث صادر عن خبراء في مجال الأمن السيبراني عن شن جهة فاعلة تهديدية تعرف باسم Storm-0900 حملة تصيد إلكتروني واسعة النطاق استهدفت المستخدمين في الولايات المتحدة الأمريكية عشية عيد الشكر. وقد نجحت هذه الحملة في إرسال عشرات الآلاف من رسائل البريد الإلكتروني الخبيثة.
تمكن محللو التهديدات في مايكروسوفت ثريت إنتليجنس من اكتشاف هذه الهجمات المنسقة وحظرها، حيث استغل المهاجمون فترة الأعياد لإيهام الضحايا. اعتمدت الحملة على أساليب هندسة اجتماعية ذكية، مستخدمة موضوعين رئيسيين وهما إشعارات مخالفات وقوف السيارات المزيفة ونتائج الفحوصات الطبية الاحتيالية.
Storm-0900: استراتيجيات مبتكرة لاستغلال الثقة
من خلال ربط هجمات التصيد بموضوع عيد الشكر، سعى المهاجمون لخلق شعور بالإلحاح والمصداقية، مما قلل من شكوك المستلمين وزاد من احتمالية تفاعلهم مع الرسائل. وقد اعتمد نجاح هذه الحملة على طبقات متعددة من الخداع والبراعة التقنية.
تضمنت رسائل التصيد روابط تقود المستخدمين إلى صفحة هبوط يتحكم بها المهاجمون، والتي تم استضافتها على النطاق الخبيث permit-service[.]top. سعى المهاجمون إلى تعزيز عملية الخداع وتجاوز الإجراءات الأمنية من خلال دمج عناصر تفاعلية.
آلية خداع مبتكرة
تطلبت صفحة الهبوط من المستخدمين إكمال اختبار CAPTCHA عن طريق سحب شريط تمرير، وهو ما يبدو ظاهرياً كخطوة مشروعة للتحقق من أن المستخدم ليس روبوتًا. هذا الإجراء، الذي يبدو عادياً لمعظم المستخدمين، كان في الواقع يهدف إلى التحقق من قدرة الهدف على التفاعل واستعداده لتنزيل البرمجيات الخبيثة.
بعد اجتياز هذه الخطوة، كانت تتبعها عملية تحقق مزيفة أخرى، غالباً ما تتضمن طلب معلومات إضافية أو نقرات إضافية، مما يزيد من تثبيت فكرة الشرعية لدى الضحية قبل المرحلة النهائية من الإصابة.
الهدف النهائي: نشر برمجية XWorm الخبيثة
أكد محللو وباحثو التهديدات في مايكروسوفت أن هذه الحملة أدت في النهاية إلى نشر برمجية XWorm، وهي برمجية وصول عن بعد (RAT) معيارية وشائعة الاستخدام من قبل العديد من الجهات الفاعلة في مجال التهديدات السيبرانية. تتيح هذه البرمجية للمهاجمين إمكانية الوصول والتحكم عن بعد في الأجهزة المخترقة.
بعد التفاعل الناجح مع صفحة التصيد، يتم تسليم برمجية XWorm إلى الأجهزة المصابة، مما يمكّن المهاجمين من إقامة وصول مستمر والسيطرة على الأنظمة المستهدفة. تكمن خطورة XWorm في طبيعتها المعيارية، مما يسمح للمهاجمين بتحميل وحدات إضافية لتنفيذ مهام متنوعة.
آلية الإصابة والانتشار
تعمل XWorm كمنصة برمجيات خبيثة معيارية، بمعنى أن الجهات الفاعلة يمكنها تحميل مكونات إضافية لأداء مهام مختلفة على الأجهزة المخترقة. إن هذا الهيكل المعياري يجعل البرمجية خطيرة بشكل خاص، حيث يسمح للمهاجمين بتخصيص الهجمات بناءً على أهداف محددة.
بمجرد تثبيتها، توفر XWorm إمكانيات وصول عن بعد، مما يسمح للمهاجمين بنشر برمجيات خبيثة إضافية، وسرقة بيانات حساسة، والحفاظ على وجود طويل الأمد في أنظمة الضحايا. تتواصل البرمجية الخبيثة مع بنية قيادة وتحكم (C2)، مما يسمح للمهاجمين بإصدار الأوامر عن بعد واستخراج المعلومات من الأجهزة المخترقة.
تمكنت مايكروسوفت من تعطيل الحملة بأكملها بنجاح من خلال مزيج من تقنيات تصفية البريد الإلكتروني، وحماية نقاط النهاية، والحظر الاستباقي للبنية التحتية للمهاجمين استنادًا إلى معلومات التهديدات. هذا النهج الدفاعي متعدد الطبقات منع وصول غالبية رسائل التصيد إلى الأهداف المقصودة وحظر الوصول إلى النطاقات الخبيثة قبل أن يتمكن المستخدمون من التفاعل معها.
يجب على المؤسسات البقاء يقظة تجاه الاتصالات غير الاعتيادية التي تشير إلى أمور عاجلة، وتطبيق ضوابط قوية لأمن البريد الإلكتروني، خاصة خلال فترات الأعياد التي تشهد عادةً زيادة في محاولات الهندسة الاجتماعية.