تستغل موجة جديدة من عمليات التصيد الاحتيالي إشعارات DocuSign المزيفة لزرع برمجيات خبيثة خفية على أنظمة ويندوز.
تحتوي الرسائل الإلكترونية على شعار DocuSign الأصلي، وتحث المستخدمين على مراجعة اتفاقية قيد الانتظار، موجهةً إياهم إلى رابط يدّعي استضافة الملف.
بمجرد النقر عليه، ينتقل مسار العملية من المتصفح إلى برنامج تحميل متعدد المراحل مصمم لتجاوز أنظمة الحماية الأساسية للبريد الإلكتروني ونقاط النهاية.
يؤدي رابط التصيد الاحتيالي إلى صفحة ويب تطلب من الضحية رمز دخول قبل عرض المستند المزعوم.
تعزز هذه الآلية الثقة وتمنع أيضًا العديد من بيئات الاختبار الآلية التي لا تعرف الرمز الصحيح.
خلف الصفحة، يقوم برنامج نصي باختيار المرحلة التالية، والتي غالباً ما تكون عملية تنزيل تبدو كملف PDF غير ضار أو عقد مضغوط.
وجود البرمجية الخبيثة، بتحديدها لاحقًا، أثناء تشغيل عينات في بيئة Jx Cl B، حيث ظهرت بوابة رمز الوصول، والفحوصات الزمنية، والضغط الإضافي.
ويُظهر تحليلهم التقني الكامل كيف ينتظر برنامج التحميل فترات زمنية محددة، ثم يقوم بفك تشفير حمولته الحقيقية في الذاكرة فقط.
يُظهر هذا مخطط العمليات واستدعاءات الشبكة التي تكشف . وتتراوح الأهداف بين الشركات الصغيرة والمؤسسات العالمية الكبيرة.
آلية الإصابة وأساليب التخفي
بمجرد أن يفتح الضحية الملف المُنزّل، يقوم برنامج نصي صغير أو ماكرو بتشغيل أمر PShl الذي يسحب المرحلة التالية من خادم بعيد تحت سيطرة المهاجم.
يستخدم الأمر سلاسل نصية طويلة ومُشفرة، ومتغيرات بيئية، وكتلًا مُشفّرة لإخفاء غرضه عن القواعد البسيطة.
نمط شائع شوهد في هذه الحملة، حيث يتم تشغيل Pll بحمولة مشفرة ونافذة مخفية.
powershell -EncodedCommand $enc -WindowStyle Hidden -ExecutionPolicy Bypass
بعد فك التشفير، يقوم البرنامج النصي بتحميل مكون .NET مباشرةً إلى الذاكرة، وتشغيله كعملية فرعية ضمن عملية موثوقة مثل explorer.exe، ثم يحقن الحمولة الرئيسية في ذلك الجهاز.
بعد ذلك، يُفعّل البرنامج الخبيث خاصية استمرارية محدودة عن طريق إضافة مفتاح تشغيل في سجل النظام أو مهمة مجدولة تستدعي البرنامج النصي برمز وصول جديد.
نظرًا لأن معظم العمليات تتم في الذاكرة وداخل الأجهزة الموثوقة، فإن سجلات نقاط النهاية القوية ومراقبة الشبكة ضرورية لاكتشاف هذا الهجوم الذي يستهدف DocuSign.
.png "English"){kind=small}
0 تعليقات