ظهرت حلقة مفرغة خطيرة في الجرائم الإلكترونية، حيث تُمكّن بيانات الاعتماد المسروقة من برامج خبيثة لسرقة المعلومات المهاجمين من اختراق مواقع الشركات الشرعية وتحويلها إلى منصات لتوزيع البرامج الضارة.
ويكشف بحث حديث أجراه فريق استخبارات التهديدات أن هذه الحلقة المفرغة تُحوّل الضحايا إلى شركاء غير واعين.
أسلوب هجوم Cliix
يستخدم مجرمو الإنترنت أسلوبًا متطورًا للهندسة الاجتماعية يُسمى "Cliix"، حيث يخدعون المستخدمين لتنفيذ برمجيات خبيثة من خلال أفعالهم.
يبدأ الهجوم عندما يزور الضحايا مواقع ويب مخترقة تعرض تنبيهات أمنية مزيفة تُحاكي Google reCHA أو رسائل خطأ المتصفح.
عندما ينقر المستخدمون على هذه التنبيهات الاحتيالية، يقوم برنامج جافا سكريبت خبيث بنسخ أمر PShell إلى حافظتهم دون علمهم.
ثم يطلب منهم البرنامج المزيف الضغط على مفتاحي Windows + R ولصق "رمز التحقق" باستخدام Ctrl + V.
يقوم هذا بتنفيذ الأمر الخفي، وتنزيل برامج خبيثة لسرقة المعلومات مثل Luma أو Vir أو Stlc، مباشرة على نظامهم مع تجاوز ضوابط الأمان التقليدية.
بحثٌ حلّلي ترصد أكثر من 1600 نطاقٍ خبيثٍ نشط، عن نمطٍ مُثيرٍ للدهشة.
وبمقارنة هذه النطاقات بقاعدة بيانات Hon Rck لبيانات الاعتماد المُخترقة، تبيّن وجود 220 نطاقًا، أي ما يُقارب 13% منها، تستضيف في الوقت نفسه حملات Cliix، مع وجود بيانات اعتماد إدارية مُسرّبة في سجلات برامج سرقة المعلومات.
يُثبت هذا الترابط وجود علاقة سببية، حيثُ تعرّضت مواقع الشركات الشرعية التي أُصيبت أنظمة إدارتها ببرامج سرقة المعلومات للاختراق، لتوزيع البرامج الخبيثة نفسها التي اخترقتها.
تتضمن بيانات الاعتماد المسروقة الوصول إلى لوحات تحكم ووردبريس، وأدوات تحكم استضافة cPel، وأنظمة إدارة المحتوى.
تحليل jrqs هذا النمط. ويستضيف الموقع حاليًا حملة Cliix نشطة.
ومع ذلك، تشير معلومات Hon Rok الاستخباراتية إلى أن بيانات اعتماد تسجيل الدخول إلى WPr الخاصة بمسؤول هذا الموقع قد سُرقت سابقًا بواسطة برامج خبيثة لسرقة المعلومات.
استخدم المهاجمون بيانات الاعتماد الصحيحة هذه للوصول إلى الموقع الإلكتروني وتحميل برامج خبيثة، محولين بذلك موقعًا تجاريًا شرعيًا إلى منصة هجوم.
توجد أدلة مماثلة للعديد من النطاقات الأخرى، بما في ذلك wo، حيث مكّنت بيانات اعتماد إدارية تم الحصول عليها من قبل لصوص المعلومات من الوصول غير المصرح به إلى استضافة البرامج الخبيثة.
تؤدي حلقة التغذية الراجعة هذه إلى نمو متسارع في بنية الهجوم التحتية. فكلما زاد عدد أجهزة الكمبيوتر المصابة، زادت سرقة بيانات الاعتماد.
تؤدي زيادة بيانات الاعتماد المسروقة إلى اختراق المزيد من المواقع الإلكترونية، مما يوسع نطاق حملات Cliix، وينتج عنه المزيد من الإصابات. وتصبح هذه الدورة مستدامة ذاتيًا.
إن الطبيعة اللامركزية لهذه البنية التحتية تجعل تعطيلها أمرًا بالغ الصعوبة. فبدلاً من العمل من خوادم خبيثة مخصصة، يختبئ المهاجمون داخل آلاف مزودي خدمات الاستضافة الشرعيين باستخدام مواقع تجارية مخترقة.
حتى لو قامت السلطات بتفكيك شبكات الروبوتات الرئيسية، فإن البنية التحتية الموزعة تبقى سليمة إلى حد كبير.
توفر التي من شركة RQt وتم دمجها مع معلومات Hon Rok الاستخباراتية، رؤية بالغة الأهمية لهذا التهديد.
بحسب شركة Infrs، تميّز هذه الأداة بين النطاقات الخبيثة تمامًا والمواقع الشرعية المخترقة، مما يتيح استراتيجيات معالجة أكثر فعالية.
يجب على مجتمع الأمن السيبراني إدراك أن انتشار البرمجيات الخبيثة الحديثة يعتمد بشكل متزايد على استغلال السلوك البشري بدلًا من الثغرات التقنية.
مع ازدياد أمان المتصفحات وأنظمة التشغيل، يلجأ المهاجمون إلى أساليب الهندسة الاجتماعية التي تخدع المستخدمين لحملهم على تعطيل برامج الحماية الخاصة بهم.
يُعدّ فهم البنية التحتية التي تدعم هذه الحملات وتعطيلها، ولا سيما حلقة التغذية الراجعة لسرقة بيانات الاعتماد، أمرًا بالغ الأهمية لكسر هذه الحلقة الخطيرة.
.png "English"){kind=small}
0 تعليقات