احذر من رسائل البريد الصوتي المُعدّة كسلاح والتي تمنح المخترقين إمكانية الوصول عن بُعد إلى نظامك

 

 

يلجأ مجرمو الإنترنت بشكل متزايد إلى أساليب الهندسة الاجتماعية لتجاوز أنظمة الحماية الأمنية التقليدية، مما يوقع العديد من المستخدمين في غفلة تامة.

وتستهدف حملة جديدة متطورة، تُعرف باسم "فخ البريد الصوتي"، المستخدمين بشكل مباشر من خلال رسائل بريد صوتي مزيفة مصممة لتبدو وكأنها اتصالات عمل روتينية. 

 غالبًا ما تبدو هذه الرسائل وكأنها واردة من جهات مالية موثوقة، وتستخدم عبارات ألمانية جذابة لخداع الضحايا ودفعهم للتفاعل مع محتوى خبيث.

يعتمد هذا الهجوم بشكل كبير على استغلال ثقة المستخدمين بدلًا من استغلال ثغرات برمجية معقدة.

تبدأ عملية الهجوم عندما يتلقى الضحية إشعارًا يدّعي وجود رسالة صوتية جديدة وعاجلة في انتظاره.

يؤدي النقر على الرابط المرفق إلى توجيهه إلى موقع ويب مخترق مُستضاف على نطاق فرعي يحمل طابعًا مصرفيًا، مما يضفي على عملية الاحتيال مصداقية زائفة.

 تُحاكي المقصودة واجهة مشغل صوتي قياسي، وتطلب من المستخدم الاستماع إلى التسجيل.

لكن بدلاً من تشغيل ملف صوتي مباشرةً، يُطلب من المستخدم تنزيل برنامج نصي مُحدد لسماع الرسالة.

رصد باحثو753 بعد رصدهم 86 موقعًا إلكترونيًا مختلفًا تُقدم هذه الملفات الخبيثة.

الملف الذي يتم تنزيله هو في الواقع برنامج نصي مُدمج لنظام ويندوز (BAT) مُتنكر في هيئة تحديث ضروري لبرنامج ترميز الصوت أو مُكون وسائط.

بمجرد أن يُشغل المستخدم هذا البرنامج النصي يدويًا، يبدأ عملية إصابة مُتعددة المراحل تُؤدي في النهاية إلى اختراق جهاز الضحية، غالبًا دون أن تُثير هذه العملية تنبيهات برامج مكافحة الفيروسات القياسية نظرًا لاستخدام أدوات إدارية شرعية.

آلية التغلغل الخادع والبقاء المستمر

يكمن جوهر هذا الهجوم في قدرته الذكية على إخفاء النشاط الخبيث تحت ستار صيانة النظام أو التحديثات الروتينية.

عندما يُشغّل المستخدم ملف BAT المُنزّل، تظهر شاشة وهمية بعنوان "تحديث مكونات Windows Media Player" في موجه الأوامر.

هذه الخدعة البصرية تجعل الضحية تتوقع وتقبل مطالبات الأمان اللاحقة، معتقدة أنها ببساطة تقوم بتفويض تحديث برنامج شرعي مطلوب لوظيفة تشغيل الصوت. 

بينما تظهر شاشة التحديث الوهمية في المقدمة، يقوم البرنامج النصي بتنزيل وتثبيت "Rey"، وهي أداة شرعية مفتوحة  للمراقبة والإدارة عن بُعد (RvM).

ولمزيد من التمويه، يقوم البرنامج الخبيث بتشغيل ملف صوتي عادي من نافذة متصفح مصغّرة، مما يُعطي الضحية تأكيدًا حسيًا بأن "البريد الصوتي" يعمل. 

 في هذه الأثناء، يقوم وكيل إدارة المراقبة عن بعد المثبت بتسجيل الجهاز في شبكة يتحكم بها المهاجم، مما يمنحهم وصولاً مستمراً عن بعد إلى النظام لسرقة البيانات أو نشر حمولات إضافية.

للحماية من هذه التهديدات، ينبغي على فرق الأمن مراقبة عمليات تثبيت برامج RvM غير المصرح بها بشكل فعال، وحظر النطاقات الخبيثة المعروفة المرتبطة بهذه الحملة. 

 المستخدمون بفحص الروابط الإلكترونية بدقة قبل النقر عليها، والتعامل بحذر شديد مع أي طلب لتنزيل "برامج ترميز" أو "تحديثات" لمجرد تشغيل رسالة بريد صوتي.