تستغل حملة برمجيات خبيثة جديدة تحذيرات "الشاشة الزرقاء" المزيفة وأدوات بناء مايكروسوفت الموثوقة لنشر حصان طروادة خطير للتحكم عن بُعد.
تستهدف هذه العملية، التي تحمل اسم PHALT#BLYX، قطاع الضيافة برسائل بريد إلكتروني خادعة لإلغاء الحجوزات، بهدف التلاعب بالضحايا لحملهم على تشغيل برمجيات خبيثة على أنظمتهم.
يبدأ الهجوم عندما يتلقى الموظفون غير المشتبه بهم رسائل بريد إلكتروني تصيدية مقنعة، مُتنكرة في هيئة تنبيهات حجز من Bg.
تُظهر هذه الرسائل رسومًا باهظة تتجاوز 1000 يورو، مما يُثير الذعر ويُحفّز المُستلمين على النقر على "عرض التفاصيل" للتحقق.
بدلًا من الوصول إلى معلومات الحجز الصحيحة، يُحوّل الضحايا إلى مواقع إلكترونية مُزيّفة مُصمّمة باحترافية تُحاكي واجهة Bg الأصلية بدقة متناهية، من حيث الألوان والخطوط والشعارات.
يستغل هذا التلاعب النفسي حالة الاستعجال والقلق المالي، مما يجعل الضحايا أكثر عرضة لتجاهل إجراءات الأمان المعتادة.
بمجرد دخول الضحايا إلى الصفحة الاحتيالية، يواجهون خطأً وهميًا في تحميل المتصفح يتبعه ظهور شاشة الموت الزرقاء المحاكاة التي تبدو أصلية بشكل مثير للقلق.
تُوجّه الصفحة المستخدمين إلى "إصلاح" المشكلة بالضغط على مفتاح Windows + R، ثم لصق محتوى الحافظة والضغط على Enter.
تستخدم تقنية CFix هذه خداع المستخدمين لتنفيذ أوامر Pl يدويًا، والتي بدورها تُنزّل ملفات مشاريع خبيثة وتُشغّلها عبر MSBuild.exe، وهي أداة تجميع برامج شرعية من Microsoft.
هذه الحملة بعد تتبع تطور أساليبها من طرق نشر تطبيقات HTML البسيطة إلى سلسلة العدوى المتطورة الحالية القائمة على MSBuild.
يمثل هذا التحول تكيفًا استراتيجيًا نحو تقنيات "الاستفادة من موارد النظام" التي تستغل أدوات النظام الموثوقة للتهرب من برامج مكافحة الفيروسات التقليدية.
وكشف التحليل عن وجود نصوص باللغة الروسية مضمنة في شفرة البرمجية الخبيثة، مما يشير إلى صلات بجماعات تهديد ناطقة بالروسية تستخدم برنامج DCRat بكثرة في المنتديات السرية.
عملية إصابة متعددة المراحل وتجاوز الدفاعات
ينفذ برنامج Pell الخبيث عدة عمليات بالغة الأهمية في آنٍ واحد.
يفتح البرنامج صفحة إدارة Bg الأصلية كتمويه، بينما يبحث سرًا في النظام بأكمله عن ملف MSBuild.exe، ثم يُنزّل ملف مشروع باسم v.proj من بنية المُهاجم التحتية، ويُشغّله عبر أداة Microsoft.
نظرًا لأن ملف MSBuild.exe يحمل توقيع Microsoft صالحًا، غالبًا ما تفشل قوائم التطبيقات المسموح بها وحلول أمان نقاط النهاية في رصد هذا التنفيذ باعتباره مشبوهًا.
يحتوي ملف v.proj على نصوص Pll مُضمّنة تستهدف Windows Defender فورًا بإضافة استثناءات لمجلد Pta بأكمله وامتدادات ملفات مُحددة، بما في ذلك .exe و .ps1 و .proj.
يضمن هذا الإعداد وصول الحمولة النهائية إلى القرص دون إثارة تنبيهات الحجر الصحي.
ثم يحاول البرنامج الخبيث رفع مستوى الامتيازات من خلال أساليب البريد العشوائي للتحكم في حساب المستخدم، حيث يحث المستخدمين بشكل متكرر على منح حقوق المسؤول من خلال نوافذ منبثقة متكررة مصممة لاستنزاف مقاومتهم.
بعد تثبيت نفسه عبر ملفات اختصار الإنترنت في مجلد بدء التشغيل، يقوم البرنامج الخبيث بنشر ملف staxs.exe، وهو نسخة مُشفرة للغاية من برنامج DCRat.
يستخدم هذا البرنامج الخبيث تشفير AES-256 مع اشتقاق مفتاح PBKDF2، ويتصل بخوادم التحكم والسيطرة على المواقع asj77 وasj88. وasj عبر المنفذ 3535.
يقوم حصان طروادة بحقن نفسه في عمليات النظام المشروعة، مثل aspnet_compiler.exe، من خلال تقنية "تفريغ العمليات"، مما يُخفي نشاطه الخبيث خلف ملفات Windows الثنائية الموثوقة.
تشمل قدرات برنامج DCRat تسجيل ضغطات المفاتيح، والوصول عن بُعد إلى سطح المكتب، وحقن العمليات، والقدرة على تنزيل حمولات ثانوية مثل برامج تعدين العملات المشفرة.
يجمع البرنامج الخبيث بصمات شاملة للنظام، بما في ذلك مُعرّفات الأجهزة، وبرامج مكافحة الفيروسات المُثبّتة، وعناوين النوافذ النشطة، وحالة عضوية النطاق، قبل إرسال هذه المعلومات إلى المُشغّلين.
تُمكّن هذه المعلومات المُهاجمين من تقييم قيمة الضحية ونشر الأدوات المُناسبة لسرقة بيانات الاعتماد، أو التنقل الجانبي، أو نشر برامج الفدية.
.png "English"){kind=small}
0 تعليقات