🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
اقرأ المزيد
ما يبدو أنه تحويل غير ضار للملفات عبر الإنترنت يمكن أن يكون فخًا نصبه مجرمو الإنترنت. يكشف تحقيق CloudSek الأخير عن حملة برامج ضارة خفية حيث تقوم محولات PDF-to-Docx المزيفة، التي تحاكي PDFCandy.com الشهير، بخداع المستخدمين لتشغيل أوامر PowerShell الضارة. نهاية اللعبة؟ أداة سرقة معلومات قوية تقوم باختطاف بيانات اعتماد المتصفح ومحافظ التشفير والمزيد. تعمق في تحليلنا التفصيلي لعملية احتيال الهندسة الاجتماعية هذه، وتشريحها الفني، وكيفية البقاء متقدمًا على عصابات البايت هذه.
حدد الروابط الضارة ومحاولات التصيد الاحتيالي وواجهها بفعالية باستخدام CloudSek xvigil عناوين URL المزيفة ووحدة التصيد الاحتيالي، مما يعزز دفاعك ضد التهديدات الإلكترونية
Schedule a Demoأصبحت محولات PDF عبر الإنترنت أدوات أساسية في عمليات سير العمل الرقمية اليومية. في 17 مارس 2025، أصدر مكتب دنفر الميداني التابع لمكتب التحقيقات الفيدرالي تنبيهًا بشأن محولات الملفات الضارة عبر الإنترنت المستخدمة لتوزيع البرامج الضارة. هذا ما دفع كلاود سيكيقوم فريق أبحاث الأمن بإجراء تحقيق متعمق في هذه التهديدات لفهم آلياتها وتطوير تدابير الحماية.
يفحص هذا التقرير هجومًا معقدًا يتضمن محولًا ضارًا من PDF-to-Docx ينتحل شخصية الخدمة الشرعية pdfcandy.com. قام ممثلو التهديد بنسخ واجهة المستخدم الخاصة بالمنصة الأصلية بدقة وتسجيل أسماء نطاقات متشابهة لخداع المستخدمين. يتضمن ناقل الهجوم خداع الضحايا لتنفيذ أمر PowerShell الذي يقوم بتثبيت برنامج Arechclient2 الضار، وهو نوع من عائلة سارق المعلومات SectoPrat الخطيرة المعروفة بجمع البيانات الحساسة من الأنظمة المخترقة.
يوضح تحليلنا الجوانب الفنية لهذا الهجوم، ومؤشرات التسوية، ويقدم توصيات قابلة للتنفيذ لمساعدة المنظمات والأفراد على حماية أنفسهم من أساليب الهندسة الاجتماعية المعقدة هذه.
يعرض الشكلان 2 و 3 الصفحات المقصودة والصفحة الرئيسية لموقعين محددين لتحويل الملفات الضارة، وكلاهما ينتحل شخصية خدمة pdfcandy.com الشرعية بخبرة. تقوم هذه المواقع الاحتيالية بتكرار الهوية المرئية لـ pdfcandy.com بدقة، بما في ذلك عناصر الشعار والعلامة التجارية، مما يخلق واجهة مقنعة. عند الوصول، يُطلب من المستخدمين على الفور تحميل ملف PDF للتحويل إلى تنسيق Word (.docx)، مع استغلال الحاجة الشائعة لتحويل الملفات لبدء ناقل الهجوم.
عند بدء عملية تحويل PDF، يستخدم موقع الويب الضار سلسلة من أساليب الهندسة الاجتماعية المعقدة للتلاعب بسلوك المستخدم:
يوضح تدفق المستخدمين هذا المصمم بعناية فهم المهاجمين لعلم النفس البشري واتفاقيات تصميم الويب، مما يسلط الضوء على الطبيعة المعقدة لهجوم الهندسة الاجتماعية هذا.
بعد تفاعل CAPTCHA المخادع، يطالب موقع الويب المستخدمين بتنفيذ أمر PowerShell (الموضح أدناه) مع تعليمات مفصلة كما هو موضح في الشكل 5 - وهي نقطة حرجة تنتقل فيها الهندسة الاجتماعية إلى اختراق النظام.
عند فك تشفير الأمر، اكتشفنا سلسلة إعادة توجيه معقدة مصممة لإخفاء عملية تسليم البرامج الضارة. يستهدف الاتصال الأولي عنوان «bind-new-connect [.] click/santa/bee» متنكرًا في صورة عنوان URL المختصر «https [://] bitly [.] cx [/] sMMA» المختصر. تتم إعادة التوجيه هذه، الموضحة في الشكل 6، لاحقًا إلى «https [://] bitly [.] cx [/] Www0" والتي تنتقل بعد ذلك إلى «bind-new-connect [.] click/marmaris/later» - نقطة النهاية الفعلية التي تخدم حمولة "adobe.zip" الخبيثة. حسب ثريت فوكس، يعد النطاق «bind-new-connect [.] click» موزعًا معروفًا للبرامج الضارة ArechClient التي تنتمي إلى عائلة SectoBrat من سارقي المعلومات. إن برنامج Remote Access Trojan المتطور المستند إلى .net نشط منذ عام 2019 ويمتلك قدرات واسعة لسرقة البيانات الحساسة، بما في ذلك بيانات اعتماد المتصفح ومعلومات محفظة العملات المشفرة.
تمت استضافة ملف "adobe.zip" الضار على عنوان IP 172 [.] 86 [.] 115 [.] 43، والذي تم وضع علامة عليه على أنه ضار من قبل العديد من موردي الأمان وفقًا لـ تحليل فيروس توتال. يستخدم SectoPrat عادةً طرق توزيع مختلفة، بما في ذلك الإعلانات الخاطئة من خلال إعلانات Google وتحديثات التطبيقات المزيفة، لزيادة معدلات الإصابة إلى أقصى حد.
يمكن رؤية محتويات "adobe.zip" في الشكل 7 أعلاه. يتم توسيع هذا الأرشيف إلى مجلد باسم «SoundBand» ويحتوي على ملف تنفيذي ضار «audiobit [.] exe». يمكن العثور على تحليل البرامج الضارة الكامل لهذا الأرشيف بأكمله في تقرير وضع الحماية ANY.RUN هذا.
يؤدي تنفيذ «audiobit [.] exe» إلى تشغيل سلسلة هجوم معقدة متعددة المراحل حيث يتم إنتاج «cmd [.] exe»، مما يؤدي لاحقًا إلى تشغيل «MSBuild [.] exe» - أداة مساعدة شرعية لـ Windows تم تسليحها الآن لتحميل وتنفيذ سارق معلومات ArechClient2، كما هو موضح في الشكل 9 أدناه.
للحماية من محولات الملفات الضارة مثل تلك التي تم تحليلها في هذا التقرير، يجب على المنظمات والأفراد:
Take action now
CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.
Digital Risk Protection platform which gives Initial Attack Vector Protection for employees and customers.
Software and Supply chain Monitoring providing Initial Attack Vector Protection for Software Supply Chain risks.
Creates a blueprint of an organization's external attack surface including the core infrastructure and the software components.
Instant Security Score for any Android Mobile App on your phone. Search for any app to get an instant risk score.