اكتشفت شركة كاسبرسكي، في وقت سابق من الشهر الحالي، ارتفاعًا في وتيرة انتشار عدد من برمجيات (كيوبوت) Qbot الضارة التي تستهدف المستخدمين في الشركات، حيث ظهرت من خلال حملة اعتمدت على رسائل البريد الإلكتروني الضارة.
وأوضحت الشركة أن المهاجمين يستخدمون في هذه الأنشطة تقنيات الهندسة الاجتماعية المتقدمة، وذلك عن طريق اعتراضهم لمراسلات العمل، ثم يعيدون توجيه ملفات مرفقة ضارة بنسق (بي دي إف) PDF إلى سلاسل البريد الإلكتروني نفسها.
ووفقًا لكاسبرسكي، فإن الخطورة في هذا الجانب تتمثل في أن الطريقة الأخيرة غير معتادة باستخدام هذه البرامج الضارة.
-
«تشات جي بي تي 4» تفوق على الأطباء في تشخيص الأمراض2024/11/21 7:10:30 صباحًا
-
روبوت صغير يختطف 12 روبوتًا كبيرًا2024/11/21 6:10:54 صباحًا
ومنذ 4 نيسان/ أبريل الجاري، استُلم ما يزيد عن 5,000 رسالة إلكترونية تحتوي على مرفقات PDF في دول مختلفة، ولا تزال هذه الحملة مستمرة حتى الآن. وأجرى باحثو كاسبرسكي تحليلًا تقنيًا للحملة ذاتها.
وتجدر الإشارة في هذا الصدد إلى أن برمجيات Qbot الضارة تنتمي إلى فئة التروجنات (أحصنة طروادة) السيئة السمعة التي تستهدف المصارف، وتعمل كجزء من شبكة البوتات.
وتستطيع البرامج الاستيلاء على البيانات، ومن ذلك: كلمات المرور، ومراسلات العمل. وتتيح للجهات القائمة على الهجمات السيبرانية التحكم في النظام المصاب، وتثبيت برامج الفدية أو التروجنات الأخرى على المزيد من الأجهزة ضمن الشبكة ذاتها.
ويستخدم مشغلو البرامج الضارة خطط توزيع متنوعة، مثل: نشر رسائل البريد الإلكتروني التي تحتوي على مرفقات ضارة بنسق PDF، علمًا أنها لم تُلاحظ على نحو واسع النطاق في إطار هذه الحملة من قبل.
ولاحظت كاسبرسكي ارتفاعًا في نشاط حملة البريد الإلكتروني العشوائي باستخدام هذه البرامج المحددة مع ملفات مرفقة بنسق PDF. وبدأت الموجة مساء يوم الرابع من نيسان/ أبريل 2023، وتمكّن الخبراء منذ ذلك الحين من اكتشاف ما يزيد عن 5,000 رسالة إلكترونية عشوائية تحتوي على ملفات PDF، وتنشر هذه البرامج الضارة باللغات الإنجليزية، والألمانية، والإيطالية، والفرنسية.
وتُوَزَّع البرامج الضارة من خلال مراسلات العمل للضحية المحتملة التي استولى عليها المجرمون السيبرانيون. ومن ثم يرسل هؤلاء بريدًا إلكترونيًا إلى المشاركين في سلسلة الرسائل جميعهم، وفي العادة يطلبون منهم فتح ملف PDF المرفق الضار في ظل ظروف مختلفة لا تبدو مثيرة للشك. فعلى سبيل المثال، قد يطلب المهاجمون مشاركة الوثائق المتعلقة بالملف المرفق جميعها، أو حساب مبلغ العقد وفق التكاليف المقدرة في الملف ذاته.
وقالت (داريا إيفانوفا)، خبيرة تحليل البرامج الضارة في كاسبرسكي: «إننا نوصي الشركات دائمًا بالحفاظ على أعلى درجات اليقظة، ذلك أن برمجيات Qbot تُعدّ ضارة جدًا، مع أن وظائفها الأساسية لم تتغير على مدار العامين الماضيين. وفي الوقت ذاته، يعمل المهاجمون باستمرار على تحسين تقنياتهم، وإضافة المزيد من العناصر الجديدة التي تبدو مقنعة للضحايا في طرق الهندسة الاجتماعية، الأمر الذي يزيد من احتمالية وقوع الموظفين ضحايا لهذه الحيلة الخادعة. وللحفاظ على أعلى درجة من الأمان، ينبغي التحقق بعناية من العديد من العلامات الحمراء، مثل تهجئة عنوان البريد الإلكتروني للمرسل، والمرفقات الغريبة، والأخطاء النحوية. ويمكن أن تساعد حلول الأمن السيبراني المتخصصة في ضمان أمن رسائل البريد الإلكتروني التي تستقبلها الشركات».
كاسبرسكي تكتشف ارتفاعًا في وتيرة انتشار برمجيات Qbot الضارة
ويحاكي محتوى ملف PDF شعار (مايكروسوفت أوفيس 365) Microsoft Office 365 أو (مايكروسوفت أزور) Microsoft Azure. وإذا نقر المستخدم على خيار «فتح»، يُنزَّل الأرشيف الضار في جهاز الحاسوب من خادم بعيد، مثل: موقع ويب مُخترق.
وأجرى خبراء كاسبرسكي تحليلًا تقنيًا مفصلًا لهذه العملية، ويمكن الاطلاع عليه في Securelist.
ولحماية الشركات من التهديدات ذات الصلة، يوصي خبراء كاسبرسكي بما يلي:
التحقق من عنوان المرسل. تأتي معظم الرسائل غير المرغوب فيها من عناوين بريدية لا معنى لها، أو تبدو غير واقعية. ومن خلال تمرير المؤشر فوق اسم المرسل، الذي قد يحمل تهجئة غريبة، يمكنك رؤية عنوان البريد الإلكتروني بالكامل. وإذا لم تكن متأكدًا بشأن كون عنوان البريد الإلكتروني شرعيًا أو خلاف ذلك، يمكنك نسخه في خانة محرك البحث للتحقق منه.
الحذر من الرسائل المُلحَّة، فغالبًا ما يحاول المهاجمون الذين ينشرون الرسائل غير المرغوب فيها ممارسة الضغط من خلال الإيحاء بالإلحاح. فعلى سبيل المثال، قد يحتوي سطر الموضوع على كلمات، مثل: «عاجل» أو «مطلوب اتخاذ إجراء فوري»، كوسيلة للضغط عليك للاستجابة.
توفير التدريب الأساسي للموظفين على التصرفات الذكية في مجال الأمن السيبراني، وإجراء محاكاة لهجمات التصيد، لإطلاعهم على كيفية التمييز بين رسائل البريد الإلكتروني المخادعة والرسائل الأصلية.
استخدام أحد حلول حماية نقاط النهاية وخوادم البريد، مع إمكانات مكافحة التصيد الاحتيالي، مثل: Kaspersky Endpoint Security for Business، لتقليل فرصة الإصابة بهجمات التصيد الاحتيالي.
تثبيت أحد حلول الأمان الموثوق بها، مثل: Kaspersky Secure Mail Gateway الذي يعمل تلقائيًا على تنقية الرسائل غير المرغوب فيها.