اكتشف باحثو أمن الكمبيوتر في Proofpoint حملة تصيد جديدة أطلقها قراصنة يعملون لصالح الحكومة الإيرانية. لقد وجد هؤلاء المشغلون خدعة جديدة لخداع المستخدمين لتنزيل المرفقات الضارة.
يظل التصيد الاحتيالي، أو التصيد الاحتيالي بلغة موليير، أحد الأساليب الأكثر استخدامًا من قبل المتسللين للوصول إلى بيانات المستخدم. ليس هناك نقص في الأمثلة الحديثة، مثلحملة التصيد الاحتيالي واسعة النطاق هذه على Outlook قادرة على تجاوز المصادقة المزدوجة.
مثال آخر في نهاية يوليو 2022، حيث اكتشف فريق متخصص في الأمن السيبراني حملة تصيد احتيالياستغلال فيروس داخل الآلة الحاسبة ويندوز. ومع ذلك، فقد علمنا للتو يوم الأربعاء الموافق 14 سبتمبر 2022 أن خبراء أمن تكنولوجيا المعلومات في Proofpoint اكتشفوا حملة تصيد احتيالي جديدة.
ووفقا لهم نجد في أصل هذه العمليةالجهات الفاعلة في مجموعة TA453،القراصنة الذين سيتم ربطهم بهمالحرس الثوري الإسلامي الإيراني. التقنية الموجودة في قلب هذه الحملة ليست سوى "s".دمية الأوك ".لتلخيص ذلك، يجري المتسللون محادثات عبر البريد الإلكتروني بينما يقومون بتضمين ضحاياهم في نسخ مخفية. الهدف؟خداعهم لتنزيل المرفقات التي تحتوي على ملفات ضارة.
نوع جديد من حملات التصيد الاحتيالي
ولكن دعونا نرى الإجراء بالتفصيل:يقوم المتسللون بإنشاء حسابات بريد إلكتروني مزيفة متعددةعن طريق سرقة هوية العلماء أو المديرين التنفيذيين أو مديري الشركات. ثم يرسلون بريدًا إلكترونيًا إلى أحد الشركاء، ويضعون الضحية في نسخة مخفية. ثم تستمر المحادثة ويتأكد القراصنةلمعالجة مواضيع حساسة لإثارة فضول الضحية.
ومن وجهة نظره، يعتقد الضحية أنه عالق وسط سلسلة رسائل بريد إلكتروني غير مخصصة له. وبعد بضعة أيام من التبادل،يتم إرسال مرفق إلى المشاركين الآخرين. إذا قام الضحية بتنزيله وتشغيله على جهازه،لقد حصلت على ملف .DOCX مليء بوحدات الماكرو الخطيرة.
إقرأ أيضاً:يسرق المتسللون ملايين اليورو من خلال استهداف مواقع المبيعات من نظير إلى نظير
"يحتوي القالب الذي تم تنزيله، والذي أطلق عليه اسم Korg بواسطة Proofpoint، على ثلاث وحدات ماكرو: Module1.bas، وModule2.bas، وThisDocument.cls. تجمع وحدات الماكرو معلومات مثل اسم المستخدم وقائمة العمليات الجارية بالإضافة إلى عنوان IP العام للمستخدم من my-ip.io ثم تقوم بتصفية هذه المعلومات باستخدام Telegram API.شرح الباحثين.
ما يقلق Proofpoint هو أن جميع رسائل البريد الإلكتروني المستخدمة في هذا الهجوميتم إنشاؤها على موفري البريد الإلكتروني الرئيسيين، مثل Gmail وOutlook وHotmail. لذا احذر إذا وجدت نفسك فجأة في محادثة عبر البريد الإلكتروني يجريها الغرباء.