يستغل المهاجمون موقع لينكدإن لتوصيل برامج خبيثة للوصول عن بُعد تستهدف بيئات الشركات

 

 

تستغل حملة تصيد احتيالي متطورة منصة لينكدإن، المعروفة بسمعتها الموثوقة، لنشر برمجية خبيثة خطيرة تُتيح الوصول عن بُعد إلى موظفي الشركات.

يستغل المهاجمون مصداقية لينكدإن المهنية لصياغة رسائل مقنعة تبدو شرعية، مما يزيد من احتمالية قيام الموظفين بتحميل وتشغيل ملفات خبيثة. 

يمثل هذا الأسلوب الهجومي تهديدًا كبيرًا للشركات في جميع أنحاء العالم، نظرًا لأن منصات التواصل الاجتماعي لا تزال بمنأى عن أنظمة الحماية الأمنية التقليدية للبريد الإلكتروني.

تعتمد الحملة على تسلسل مُحكم. يرسل المهاجمون رسائل تصيد احتيالي عبر لينكدإن تحتوي على روابط لتحميل ملفات WinRAR ذاتية الاستخراج مُعدّلة.

تُصمَّم أسماء الملفات لتتناسب مع دور المُستلِم أو مجال عمله، مثل "UpcomingProducts.pdf" أو "ProjectExecutionPlan.exe"، مما يُعطي المُستلِم سببًا مقنعًا للتفاعل مع المحتوى المُنزَّل.

وبمجرد تشغيل الملف المضغوط، يستخرج مكونات شرعية وأخرى خبيثة تعمل معًا لاختراق النظام.

يُمكّن هذا الأسلوب مجرمي الإنترنت من تجاوز العديد من أدوات الكشف الأمني ​​مع الحفاظ على تكاليف تشغيل منخفضة.

 بتحديد حملة التصيّد هذه والتحقيق فيها، أنها تستخدم آلية إصابة متطورة متعددة المراحل تجمع بين تحميل ملفات DLL جانبيًا وبرنامج بايثون مفتوح المصدر.

 أن سلسلة الهجوم تُنفّذ بسرعة، وغالبًا ما تُنجز أهدافها الخبيثة في غضون ساعات.

وأظهر المهاجمون فهمًا عميقًا لكيفية عمل البرامج الشرعية، مما مكّنهم من إخفاء برمجياتهم الخبيثة في وضح النهار.

تحميل ملفات DLL جانبيًا والاختراق المستمر

تُظهر آلية الإصابة المستخدمة في هذه الحملة كيف يستغل المهاجمون التطبيقات الموثوقة للسيطرة على النظام على المدى الطويل.

عندما يقوم الضحايا باستخراج الملف المضغوط الخبيث وتشغيله، فإنهم يُشغّلون دون علمهم تطبيق قارئ ملفات PDF شرعيًا. مع ذلك، يكون المهاجمون قد وضعوا ملف مكتبة ارتباط ديناميكي (DLL) مُعدّلًا في نفس المجلد، مستغلين تقنية تُعرف باسم تحميل ملفات DLL جانبيًا.

يقوم تطبيق قارئ ملفات PDF تلقائيًا بأولوية تحميل ملفات DLL من مجلده المحلي قبل فحص مجلدات النظام، مما يؤدي إلى تشغيل ملف DLL الخبيث بدلًا من الملف الشرعي.

يتم هذا التشغيل ضمن عملية موثوقة لقارئ ملفات PDF، مما يخفي النشاط الخبيث عن أدوات مراقبة الأمان.

بعد التشغيل الأولي، يقوم ملف DLL الخبيث بتنفيذ إجراءات حاسمة تضمن استمراريته في النظام.

يتلقى النظام المخترق مُفسِّر بايثون وبرنامجًا نصيًا مُضمَّنًا لتشغيل الشيفرة الخبيثة.

يُنفِّذ مُفسِّر بايثون هذا البرنامج النصي بالكامل في الذاكرة باستخدام دالة exec الخاصة ببايثون، دون ترك أي آثار على القرص قد تكتشفها برامج مكافحة الفيروسات التقليدية.

ثم يُنشئ المهاجمون مفتاح تشغيل دائم في سجل النظام يحتوي على شيفرة بايثون مُضمَّنة، مما يضمن تنفيذ الشيفرة الخبيثة تلقائيًا في كل مرة يُسجِّل فيها المستخدم دخوله إلى النظام.

تُحوّل آلية الاستمرارية هذه الموظف المخترق إلى خطر أمني طويل الأمد، مما يمنح المهاجمين وصولاً مستمراً لرفع مستوى صلاحياتهم، والتنقل داخل الشبكة، وسرقة البيانات الحساسة.

إنّ اجتماع الهندسة الاجتماعية، والملفات التي تبدو شرعية، والاستغلال التقني المتطور، يجعل هذا التهديد تحدياً بالغاً للمؤسسات في التصدي له.