🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
اقرأ المزيد
يستهدف مجرمو الإنترنت بشكل متزايد منشئي YouTube من خلال استغلال عروض التعاون المزيفة للعلامة التجارية لتوزيع البرامج الضارة. تتضمن حملات التصيد الاحتيالي المعقدة هذه رسائل بريد إلكتروني مصممة بعناية تنتحل شخصية العلامات التجارية الموثوقة، وتقدم صفقات شراكة جذابة. غالبًا ما يتم تسليم البرامج الضارة، المتخفية في شكل مستندات شرعية مثل العقود أو المواد الترويجية، من خلال ملفات محمية بكلمة مرور مستضافة على منصات مثل OneDrive لتجنب الاكتشاف. بمجرد التنزيل، يمكن للبرامج الضارة سرقة المعلومات الحساسة، بما في ذلك بيانات اعتماد تسجيل الدخول والبيانات المالية، مع منح المهاجمين أيضًا الوصول عن بُعد إلى أنظمة الضحية. مع وضع منشئي المحتوى والمسوقين كأهداف أساسية، تؤكد هذه الحملة العالمية على أهمية التحقق من طلبات التعاون واعتماد تدابير الأمن السيبراني القوية للحماية من مثل هذه التهديدات.
يسلط هذا التقرير الضوء على حملة برامج ضارة معقدة تستهدف الشركات من خلال التصيد الاحتيالي عبر البريد الإلكتروني. يستفيد المهاجمون من الأسماء التجارية الموثوقة وعروض التعاون المهني كغطاء لتوزيع المرفقات الضارة. تم تصميم سطور موضوع البريد الإلكتروني ومحتوياته بعناية لتظهر كفرص عمل مشروعة، بما في ذلك العروض الترويجية ومقترحات الشراكة والتعاون التسويقي.
تشمل الخصائص الرئيسية للحملة ما يلي:
كشف فريق الباحثين في مجال التهديدات في Cloudsek عن حملة برامج ضارة ينتحل فيها ممثلو التهديد شخصية العلامات التجارية الشهيرة ويقدم تعاونهم المهني كتمويه لتوزيع المرفقات الضارة. في البريد الإلكتروني أدناه، يقدم ممثل التهديد اقتراحًا للتعاون مع العلامة التجارية من، بما في ذلك هيكل التعويض بناءً على عدد المشتركين.
في نهاية الرسالة الإلكترونية، يتضمن ممثل التهديد تعليمات ورابط OneDrive للوصول إلى ملف مضغوط يحتوي على الاتفاقية والمواد الترويجية المؤمنة بكلمة المرور.
عندما نقرت ضحية YouTube على عنوان URL في البريد الإلكتروني، تم توجيهها إلى صفحة Drive. كشفت عمليات الفحص الإضافية عن البريد الإلكتروني لمالك Drive، «[email protected]»، وتاريخ الإنشاء في 08/15/2024 لحساب OneDrive.
يتم تضمين الحمولة الضارة داخل ملفين مضغوطين. يتم استخدام هذا التكتيك للتهرب من الاكتشاف من خلال عوامل تصفية الأمان الشائعة وحلول مكافحة الفيروسات. بمجرد استخراج الأرشيف، يتم نشر البرامج الضارة، مما قد يعرض نظام المستلم للخطر. بمعنى أصول الوسائط الكاملة Collection.rar > أرشيف العقود والاتفاقيات Collection.rar (محمي بكلمة مرور»). عند الاستخراج، يمكننا رؤية أربعة ملفات، حيث تعتبر شروط الاتفاقية الرقمية والمدفوعات الشاملة Evaluation.exe حمولة ضارة.
تهيئة الهجوم:
مرحلة التصيد الاحتيالي:
تسليم البرامج الضارة:
عدوى النظام:
بدأ تحقيقنا بتحليل عينة، حيث تم تصنيفها على أنها ضارة من قبل 15 من موردي برامج مكافحة الفيروسات على فيروس توتال. أظهر التحليل الإضافي أن العينة أسقطت ملفًا باسم webcam.pif (AutoIt3.exe). تمت مطابقة تجزئة هذا الملف، d8b7c7178fbdf169294e4e4f29dc582f89a5cf372e9da9215a082330dc12fd، تمت مطابقته مسبقًا بحث أجراه فريق Qualys، وربطه بحملة مرتبطة بـ Lumma Stealer.
تتواصل البرامج الضارة مع خوادم Command and Control (C2) لتصفية البيانات المسروقة. في البداية، تحاول تقديم طلب DNS إلى «ukcmcsvdazgzaoh.ukcmcsvdazgzaoh»، على الرغم من أن هذه الخوادم لا يمكن الوصول إليها حاليًا. بعد ذلك، تتصل البرامج الضارة بعنوان IP 89.105.223.80 على المنفذ 27105 وتحل عنوان URL http://vm95039.vps.client-server.site:27105/.
اسم النطاق: UKCMCSVDAZAoh.ukcmcsvdazgzaoh
بروتوكول التحكم عن بعد: 89.105.223.80:27105
حل المشكلة: http://vm95039.vps.client-server.site:27105/
يبدأ Evaluation.exe الشامل لشروط الاتفاقية الرقمية والمدفوعات التنفيذ مباشرة في الدليل المؤقت وينسخ «Larger.bat» و «Webcamps.pif» إلى الدليل. قد تكون هذه محاولة لإنشاء برنامج نصي دفعي للتنفيذ الآلي للأوامر الإضافية، وغالبًا ما تستخدمه البرامج الضارة للاستمرار أو لتحفيز المزيد من الأنشطة الضارة.
يتحقق ملف Larger.bat المعتم من عمليات مكافحة الفيروسات، بما في ذلك wrsa.exe (Webroot) وopssvc.exe (Quick Heal) و( Quick Heal) و( Bitdefender) وغيرها باستخدام أوامر tasklist وfindstr. bdservicehost.exe غالبًا ما تقوم البرامج الضارة بإجراء عمليات الفحص هذه لتحديد برامج مكافحة الفيروسات وربما تعطيلها.
بعد التنفيذ، يتم تنزيل مترجم برمجة AutoIt شرعي (متخفي باسم «webcams.pif») لتشغيل برنامج نصي مشوش للغاية (يشار إليه باسم «V» في العينة التي تم تحليلها). يتم تجميع هذا البرنامج النصي من خلال ربط «أجزاء» مختلفة من البيانات من عدة ملفات أخرى، والتي يتم إنشاؤها من خلال سلسلة من عمليات النسخ والدمج التي يتم تنفيذها من موجه الأوامر.
الغرض من البرنامج النصي AutoIt هو نشر الملف الثنائي الشرعي RegAsm.exe، والذي يعمل كحاوية لحقن كود .NET الضار. AutoIt هي لغة تطوير يستخدمها مؤلفو البرامج الضارة بشكل متكرر لإنشاء البرامج الضارة والتشويش عليها.
تقوم البرامج الضارة بإسقاط ملفين webcams.pif و RegAsm.exe في المجلد المسمى «10183" من الدليل المؤقت.
لقد أجرينا تحقيقًا أعمق في البنية التحتية لممثل التهديد واكتشفنا ملف RAR مضغوطًا ضارًا تم تحميله إلى OneDrive. كشف التحليل الإضافي عن البريد الإلكتروني للمالك، «[email protected]»، وأشار إلى أنه تم تحديث ملف RAR آخر مرة في 8/15/2024.
تحليل سجل السارق:
ومن المثير للاهتمام أننا اكتشفنا أيضًا سجل سرقة من حساب البريد الإلكتروني لممثل التهديد، مما يعرض تفاصيل الحملة بأكملها. وشمل ذلك حسابات البريد الإلكتروني لـ SMTP (مثل onet.eu و murena.io)، وبروكسيات SOCKS5، وواجهات برمجة تطبيقات Google Cloud، ورسائل البريد الإلكتروني الخاصة بالضحايا وملفات تعريف الارتباط، بالإضافة إلى قوالب التصيد الاحتيالي.
يبدو أنه تم استخدام أداة متعددة التحليل لجمع البيانات من YouTube، مما سمح لممثل التهديد بالحصول على عدد كبير من عناوين البريد الإلكتروني المرتبطة بقنوات YouTube كجزء من جهود الاستطلاع الأولية.
في ما يلي نموذج من سجل السارق المستخدم لانتحال هوية العلامات التجارية لإرسال رسائل بريد إلكتروني غير مرغوب فيها إلى المستخدمين.
تقوم الجهات الفاعلة في مجال التهديد بإنشاء قوالب لحسابات SMTP المزيفة أو حسابات البريد الإلكتروني المؤقتة لإرسال رسائل بريد إلكتروني تحتوي على مرفقات ضارة. تم تصميم هذه النماذج لانتحال شخصية العلامات التجارية الشرعية، وذلك باستخدام الشعارات والتنسيقات واللغة المألوفة لخداع المستلمين وزيادة احتمالية فتحهم للمرفقات الضارة.
تم إنشاء العديد من حسابات SMTP التي تنتحل شخصية العلاقات العامة والكيانات الإعلامية لاستهداف جماهير YouTube.
من خلال ملف information.txt، وجدنا أن الجهة المسؤولة عن التهديد تستخدم أدوات التشغيل الآلي لإرسال رسائل البريد الإلكتروني المخادعة وغيرها من مهام التشغيل الآلي.
تمكنا من تسجيل الدخول إلى حساب Murena.io SMTP ووجدنا دليلًا على حملة واسعة النطاق، حيث أرسل ممثل التهديد حوالي 500-1000 رسالة بريد إلكتروني عشوائية من عنوان بريد إلكتروني واحد، منتحلًا شخصية العلامة التجارية الشهيرة. فيما يلي لقطة شاشة لإحدى رسائل البريد الإلكتروني المخادعة المرسلة إلى الضحايا.
اكتشفنا أيضًا سجل جلسات تسجيل الدخول السابقة، والتي تضمنت تفاصيل مثل عنوان IP للجلسة والمنطقة ووقت تسجيل الدخول ونوع الجهاز.
تشير المعلومات التفصيلية لأحد عناوين IP إلى أنه ينتمي إلى ISP وقد يكون جهاز مستخدم مخترقًا يتم استغلاله بشكل متكرر من قبل الجهات الفاعلة في مجال التهديد. 91.94.88.209
رقم الهاتف المسجل على حساب بريد SMTP هو +48537977468، الذي يحتوي على رمز دولة بولندا. ومع ذلك، قد يكون رقم هاتف محمول مؤقت.
لاحظ باحثونا اسم مستخدم «raez228" في سجل السارق الخاص بممثل التهديد.
وجدنا تطابقًا لاسم المستخدم «raez228" على منصة ألعاب تسمى Twitch.tv، والتي تُستخدم لبث جلسات الألعاب الحية.
ملف تعريف تويتش: https://www.twitch.tv/raez228/about
يسلط هذا النموذج الماسي الضوء على ممثل تهديد جيد التنسيق وواسع الحيلة يستفيد من الأدوات والتقنيات المتقدمة لاختراق حسابات وسائل التواصل الاجتماعي والمؤسسات على مستوى العالم.
يستفيد الخصم من البرامج الضارة والتقنيات المتطورة للهجمات المستهدفة. تشير أفعالهم إلى مجموعة منظمة جيدًا مع إمكانية الوصول إلى أدوات وموارد متنوعة.
يستخدم الخصم بنية تحتية قوية لدعم حملاته، بما في ذلك:
يعرض الخصم القدرات الرئيسية التالية:
الجغرافيا: تحتوي الحملة على عالمي التأثير، دون تركيز إقليمي محدد.
Take action now
CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.
Digital Risk Protection platform which gives Initial Attack Vector Protection for employees and customers.
Software and Supply chain Monitoring providing Initial Attack Vector Protection for Software Supply Chain risks.
Creates a blueprint of an organization's external attack surface including the core infrastructure and the software components.
Instant Security Score for any Android Mobile App on your phone. Search for any app to get an instant risk score.