تستهدف حملة تصيد احتيالي جديدة وخطيرة المؤسسات بشعار خادع هو "الجائزة التنفيذية"، يجمع بين الهندسة الاجتماعية وبرمجيات خبيثة متطورة.
يبدأ هذا الهجوم المكون من مرحلتين بخداع المستخدمين لمشاركة بيانات تسجيل الدخول الخاصة بهم عبر نموذج HTML مزيف، ثم استخدام برنامج S l e m لسرقة المعلومات لاختراق الأنظمة المتأثرة.
تمثل هذه الحملة اتجاهًا متناميًا يجمع فيه المهاجمون بين سرقة بيانات الاعتماد وإصابة الأجهزة بالبرمجيات الخبيثة في عملية واحدة منسقة.
يبدأ الهجوم بصفحة تصيد احتيالي HTML مصقولة بعنوان "Virtual-Gift-Card-Claim.html" تُحاكي إشعارًا رسميًا لجائزة شركة.
يعتقد المستخدمون الذين يتفاعلون مع هذه الصفحة أنهم يتحققون من بيانات اعتماد حساباتهم للمطالبة بجائزة تنفيذية، ولكن بدلاً من ذلك، تُرسل معلومات تسجيل الدخول الخاصة بهم فورًا إلى خادم قيادة وتحكم في Telegram يتحكم فيه المهاجمون.
تعتبر مرحلة حصاد بيانات الاعتماد هذه بمثابة المرحلة الأولى لسلسلة العدوى.
محللو الأمن من تحديد البرامج الضارة بعد تحليل البنية التحتية للحملة وأنماط الهجوم.
اكتشف أنه بمجرد وقوع المستخدم في فخ صفحة التصيد الاحتيالي، يتم إرسال ملف SVG ضار باسم "account-verification-form.svg" في المرحلة الثانية.
يُشغّل هذا الملف نصًا برمجيًا متطورًا من PSl يعمل عبر سلسلة استغلال CkFx، وهي تقنية معروفة تستغل أنظمة مراسلة Windows لتنفيذ أوامر مخفية.
بعد ذلك بتنزيل وتثبيت برنامج Sm لسرقة المعلومات على جهاز الضحية دون علم المستخدم أو موافقته.
يُمثل Sm تهديدًا خطيرًا لأنه يعمل بصمت لاستخراج المعلومات الحساسة من الأنظمة المصابة.
يتواصل البرنامج الخبيث مع خوادم التحكم والقيادة على العنوان 31.57.147.77:6464، ويستخدم نقاط تنزيل متعددة لاسترداد مكونات وأوامر إضافية.
تتيح هذه البنية للمهاجمين تكييف هجومهم آنيًا بناءً على ظروف النظام وإجراءات الأمان المعمول بها.
فهم آلية الإصابة وتنفيذ
تكمن قوة الهجوم في كيفية استخدامه لميزات Windows المشروعة ضد المستخدمين. عند فتح ملف SVG الخبيث، تُنفَّذ أوامر المُضمَّنة مع أدنى حد من الوضوح.
تُسيء سلسلة CkFx استخدام بروتوكولات مراسلة Windows المشروعة لتشغيل التنفيذ دون إثارة تنبيهات الأمان المعتادة.
ومن هناك، يُنزِّل Sm مكونات إضافية، بما في ذلك ملف DLL الرئيسي، والبرامج النصية الدفعية، وملفات الأوامر القابلة للتنفيذ.
بعد ذلك، يُرسي البرنامج الخبيث ثباتًا، مما يضمن استمراره بعد إعادة تشغيل النظام ومواصلة سرقة البيانات. ينبغي على المؤسسات مراقبة أي نشاط غير اعتيادي في، أو أي عمليات مشبوهة لملفات SVG، أو أي اتصالات شبكية ببنية التحكم والقيادة المحددة على العنوان 31.57.147.77:6464.
يجب تهيئة أنظمة كشف نقاط النهاية للكشف عن محاولات تنفيذ أوامر من غير قياسية.
يجب أن تمنع مراقبة الشبكة الوصول إلى عناوين IP الضارة المعروفة، وتراقب طلبات DNS المرتبطة بهذه الحملة.
يجب على المستخدمين توخي الحذر من رسائل البريد الإلكتروني غير المرغوب فيها التي تدّعي إشعارات التقدير أو الجوائز التنفيذية، لأنها تظلّ أدوات فعالة للهندسة الاجتماعية.
.png "English"){kind=small}
![](https://www.pinterest.com/pin/create/button/?url=https://www.information753security.giize.com/2025/12/c-k-f-x-s-l-e-m.html&media=https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhMWYOaOgGlsPRIPVo9z68G1ChCa35zELu_S0m016afin-77nStDksoNh27T4t-ie64k-mlNiHuXC4cc0_gAeANhVkP87C4olAss85n0NmRNIti4o2oEEITq7Dt0-jd2X0GrqPFrpVeKVPzZO6fwZhZYFkszpg9BCIx0p5-TVX0lAauHJt2oFJvGCT-qw/s320/information753security.png&description=احذر من حملة "الجائزة التنفيذية" الجديدة التي تستخدم C k F x لإيصال برامج S l e m الخبيثة){kind=link}
0 تعليقات