تشهد الساحة السيبرانية عودة شبكة الروبوتات المسماة “Phorpiex”، وهي منصة برمجيات خبيثة كخدمة قائمة منذ عقد من الزمان. وفي حملة حديثة واسعة النطاق، يقوم المهاجمون بتوزيع رسائل بريد إلكتروني تصيدية تحت عنوان “مستندك” بهدف خداع المستخدمين.
تطلب هذه الرسائل من المستلمين فتح مرفق يبدو كملف ZIP عادي يحتوي على مستند. ومع ذلك، فإن هذا يمثل فخًا مدروسًا مصممًا لنشر برمجية الفدية “Global Group”، وهي سلالة حديثة من عائلة برمجيات الفدية “Mamona”.
تهديد برمجيات الفدية Global Group يستغل ملفات الاختصار
يعتمد الهجوم بشكل كبير على الهندسة الاجتماعية وإساءة استخدام ملفات الاختصار (LNK) الخاصة بنظام ويندوز. يقوم المهاجمون بإخفاء هذه الاختصارات الخبيثة كملفات مستندات شرعية عن طريق استخدام امتدادات مزدوجة، مثل “Document.doc.lnk”.
نظرًا لأن نظام ويندوز غالبًا ما يخفي امتدادات الملفات افتراضيًا، يعتقد المستخدمون غير المدركين أنهم يفتحون ملف Word عاديًا. لتعزيز هذا الوهم، تستخدم الاختصارات أيقونات قياسية من موارد ويندوز الشرعية، مما يقلل بشكل كبير من شكوك المستخدمين ويزيد من احتمالية الإصابة الناجحة.
آلية العمل والتخفي
حدد باحثو Forcepoint البرمجية الخبيثة، وأشاروا إلى أن عملية الإصابة مصممة للتخفي والسرعة. بمجرد أن ينقر الضحية على الاختصار الخبيث، فإنه يقوم بتنفيذ الأوامر في الخلفية دون أن يلاحظ. يبدأ الاختصار معالج أوامر ويندوز، والذي بدوره يستدعي PowerShell لتنزيل حمولة ثانوية من خادم بعيد.
هذه الحمولة، التي غالبًا ما يتم تسميتها لتبدو وكأنها برنامج تشغيل ويندوز، هي برمجية الفدية Global Group نفسها. تستفيد العملية برمتها من تقنيات “العيش على الأرض” (Living off the Land)، باستخدام أدوات النظام المدمجة لتجنب إطلاق الإنذارات الأمنية التقليدية.
التهديد الصامت والمستقل: Global Group
الجانب الأكثر إثارة للقلق بشأن برمجية الفدية Global Group هو قدرتها على العمل في وضع “صامت” بالكامل. على عكس برمجيات الفدية التقليدية التي تتواصل مع خادم قيادة وتحكم مركزي لاسترداد مفاتيح التشفير، يقوم هذا المتغير بتنفيذ جميع أنشطته محليًا على الجهاز المخترق.
يقوم بتوليد مفتاح التشفير مباشرة على نظام المضيف، مما يسمح له بالتنفيذ بنجاح حتى في بيئات غير متصلة بالإنترنت أو معزولة. هذه الاستقلالية تجعله خطيرًا بشكل خاص، حيث يتجاوز أنظمة الكشف المستندة إلى الشبكة والتي تبحث عن حركة مرور خارجية مشبوهة.
تقنيات التغطية وإخفاء الأثر
علاوة على ذلك، تستخدم البرمجية الخبيثة تكتيكات قوية لمكافحة الطب الشرعي لتغطية آثارها. تستخدم أمر ping كتوقيت لتأخير التنفيذ قليلاً قبل حذف ملفها التنفيذي من القرص. من خلال إزالة الملف التنفيذي الأولي، يعقد المهاجمون التحقيقات بعد وقوع الحادث.
تبحث برمجية الفدية أيضًا عن وإنهاء العمليات المرتبطة بأدوات التحليل وقواعد البيانات، مما يضمن أنها تستطيع تشفير أقصى قدر ممكن من البيانات دون تدخل. للبقاء آمنًا، يجب على المؤسسات حظر المرفقات التنفيذية مثل ملفات LNK عند بوابة البريد الإلكتروني، وإعطاء الأولوية لمراقبة نقاط النهاية.
نظرًا لأن هذا التهديد يعمل دون اتصال بالإنترنت، فإن الكشف المستند إلى السلوك أمر بالغ الأهمية لإيقاف عملية التشفير قبل فقدان البيانات بشكل دائم.