يستغل مجرمو الإنترنت اعتقال الرئيس الفنزويلي نيكولاس مادورو مؤخرًا لنشر برمجيات خبيثة متطورة ذات أبواب خلفية.
استغل المهاجمون الأخبار المتعلقة باعتقال مادورو في 3 يناير 2025، مما يُظهر كيف تستمر الأحداث الجيوسياسية في كونها طُعمًا فعالًا للحملات الخبيثة.
يُرجح أن يبدأ الهجوم برسالة بريد إلكتروني مُضللة تحتوي على ملف مضغوط باسم "الولايات المتحدة تقرر الآن ما هو التالي لفنزويلا.zip".
في الداخل، يجد الضحايا ملفًا تنفيذيًا بعنوان "Maduro to be take to New York.exe" إلى جانب مكتبة ارتباط ديناميكي خبيثة تسمى "kugou.dll".
لباحثي، فإن الملف التنفيذي هو ملف KuGou ثنائي شرعي، ولكن تم استخدامه كسلاح من خلال اختطاف DLL لتحميل المكتبة الخبيثة.
سلوك البرمجيات الخبيثة
بعد تشغيلها، تقوم البرمجية الخبيثة بإنشاء مجلد في المسار C:\ProgramData\Technology360NB وتنسخ نفسها إليه، مع إعادة تسمية الملفات.
يُثبّت البرنامج الخبيث نفسه عن طريق إضافة مفتاح تسجيل في المسار "HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Lite360" يعمل تلقائيًا عند بدء تشغيل النظام.
ثم يعرض البرنامج الخبيث نافذة حوار تحث المستخدمين على إعادة تشغيل أجهزتهم، مما يؤدي إلى تفعيل الحمولة الخبيثة.
بعد إعادة تشغيل النظام، يبدأ البرنامج الخبيث اتصالات مشفرة منتظمة بخادم تحكم على العنوان 172.81.60[.]97 عبر المنفذ 443.
تُمكّن هذه الاتصالات الدورية البرنامج الخبيث من تلقي التعليمات والإعدادات من المهاجمين.
تتشابه هذه الحملة مع عمليات سابقة نفذتها مجموعة "موستانغ باندا" الصينية، المعروفة باستغلالها للأحداث الجارية، مثل الحرب الأوكرانية، والاتفاقيات المتعلقة بالتبت، وقضايا تايوان.
مع ذلك، يشير إلى عدم كفاية الأدلة لنسب هذا النشاط إلى أي جهة محددة بشكل قاطع.
يسلط هذا الحادث الضوء على التهديد المستمر لحملات التصيد الاحتيالي ذات الطابع الجيوسياسي.
ينبغي على المؤسسات والأفراد توخي الحذر الشديد عند فتح مرفقات البريد الإلكتروني، لا سيما تلك التي تشير إلى أخبار عاجلة أو أحداث عالمية.
مؤشرات الاختراق (IoCs)
172.81.60[.]97
8f81ce8ca6cdbc7d7eb10f4da5f470c6 – الولايات المتحدة تقرر الآن ما هو التالي لفنزويلا.zip
722bcd4b14aac3395f8a073050b9a578 – مادورو سيُنقل إلى نيويورك.exe
aea6f6edbbbb0ab0f22568dcb503d731 – kugou.dll
.png "English"){kind=small}
0 تعليقات