كشفت حملة تصيد احتيالي متطورة تستهدف القطاع القضائي الأرجنتيني عن استخدام أساليب مبتكرة لخداع المتخصصين القانونيين. تستغل هذه الحملة الثقة في المراسلات القضائية الرسمية لتوصيل برامج ضارة تسمح بالوصول عن بعد، مما يمثل تهديداً أمنياً جديداً.
يتم إرسال رسائل بريد إلكتروني تحتوي على مستندات تبدو وكأنها وثائق رسمية من المحاكم الفيدرالية الأرجنتينية، تتعلق بمراجعات الاحتجاز الوقائي. الهدف هو دفع المستلمين إلى تحميل برامج خبيثة دون علمهم.
صنف خبراء الأمن هذه الحملة بأنها شديدة الاستهداف، حيث تعتمد على تقنيات إصابة متعددة المراحل لضمان الوصول المستمر إلى الأنظمة القانونية والمؤسسية الحساسة.
حملة تصيد احتيالي تستهدف القطاع القضائي الأرجنتيني
تتلقى الجهات المستهدفة رسائل بريد إلكتروني تحتوي على أرشيف مضغوط (ZIP) يبدو كإشعار قضائي رسمي. يتضمن هذا الأرشيف ملف اختصار ضار لنظام ويندوز، تم إخفاؤه ليبدو وكأنه مستند PDF. بجانب ملف الاختصار، يوجد ملف دفعي (Batch script) يعمل كمحمل، ومستند قرار قضائي يبدو شرعياً.
عندما يقوم الضحية بالنقر على الملف الذي يعتقد أنه مستند PDF عادي، تبدأ سلسلة التنفيذ الخبيثة في العمل. في الوقت نفسه، يتم عرض مستند إلهاء مقنع للمستخدم لتجنب إثارة الشكوك، مما يجعل هذه التقنية فعالة للغاية ضد الموظفين القضائيين الذين يتعاملون باستمرار مع الوثائق القانونية.
وفقاً لتحليل أجراه محللو Seqrite، فإن الحملة تعتمد على آلية تسليم متطورة متعددة المراحل. اكتشف فريق البحث أن البرامج الضارة تستهدف على وجه التحديد القطاع القانوني في الأرجنتين، بما في ذلك المؤسسات القضائية، والمهنيين القانونيين، والهيئات الحكومية المرتبطة بالنظام القضائي.
آلية الهجوم: من الاختصار إلى برامج الوصول عن بعد
تستخدم الحملة عملية إصابة من ثلاث مراحل مصممة لتفادي الكشف. يقوم ملف الاختصار (LNK) الخبيث بتشغيل PowerShell في وضع مخفي، متجاوزاً سياسات التنفيذ لتشغيل ملف دفعي يتصل ببنية تحتية مستضافة على GitHub. هذا يمنح المهاجمين القدرة على توزيع حمولات إضافية.
يقوم هذا الملف الدفعي بتنزيل حمولة المرحلة الثانية، والتي تم إخفاؤها كملف “msedge_proxy.exe”. يتم تخزين هذا الملف في دليل بيانات مستخدم Microsoft Edge ليبدو شرعياً. بعد ذلك، يتم تنزيل الحمولة النهائية، وهي عبارة عن برنامج وصول عن بعد (RAT) مكتوب بلغة Rust، ويتميز بقدرات قوية ضد التحليل.
قبل البدء في العمل، يقوم برنامج الوصول عن بعد بإجراء فحوصات بيئية شاملة، بحثاً عن أجهزة افتراضية، أو بيئات اختبار (Sandboxes)، أو أدوات تصحيح. إذا تم اكتشاف أي من أدوات التحليل، يقوم البرنامج الضار بإنهاء نفسه فوراً لتجنب التعرض. بمجرد تفعيله، يبدأ في إنشاء اتصال مشفر مع الخادم القيادي والتحكم (C2)، مما يمنح المهاجمين قدرات واسعة.
تتضمن هذه القدرات استخلاص الملفات، وتثبيت آليات الاستمرارية للبقاء داخل النظام، وسرقة بيانات الاعتماد، وحتى نشر برامج الفدية من خلال مكونات DLL إضافية.