تم اكتشاف برنامج ضار سارق باستخدام حصان طروادة في رسائل البريد العشوائي إلى الشركات

يرسل المجرمون الإلكترونيون إلى الشركات تقليدًا عالي الجودة لرسائل العمل به برنامج تجسس على طريقة حصان طروادة في الملف المرفق.

 

نحن نشهد حملة بريد جماعي خبيثة جديدة تستهدف موظفي الشركة باستخدام مرفقات برامج التجسس Agent Tesla. هذه المرة، عند إنشاء رسائل البريد الإلكتروني الخاصة، يولي المهاجمون اهتمامًا خاصًا للتفاصيل — بحيث يمكن أن يختلط الأمر وتبدو رسائلهم حقًا رسائل بريد إلكتروني عادية للأعمال بها مستندات مرفقة. هدفهم النهائي هو خداع المستلم لفتح الأرشيف المرفق ثم تمكين الملف الضار.

لماذا هذا البريد الخبيث مميز؟

بادئ ذي بدء، يستخدم المجرمون الإلكترونيون الشركات الحقيقية كغطاء: فهم يزودون بريدهم الإلكتروني بشعارات حقيقية وتوقيعات تبدو مشروعة. إن لغتهم الإنجليزية بعيدة كل البعد عن الكمال، لذا فإنهم يتظاهرون بأنهم مقيمون في دول غير ناطقة باللغة الإنجليزية (بلغاريا أو ماليزيا، على سبيل المثال)، وذلك من أجل إثارة قدر أقل من الشبهات.

يرسل المهاجمون أرشيفهم الضار نيابة عن العديد من الشركات، ويغيرون النص وفقًا لذلك. في بعض الأحيان يطلبون من موظفي الشركة أسعار سلع معينة يفترض أنها مدرجة في الأرشيف المرفق، في حين يسألون في أحيان أخرى عما إذا كان المنتج المدرج متاح في المخزون. وربما لم نر كل صيغ النص التي يستخدمونها لاستدراج ضحاياهم. الفكرة هي إقناع المستجيب للتحقق من نوع السلع التي يهتم بها هذا العميل الزائف. لقد بذل المجرمون الإلكترونيون الكثير من الجهد في مرحلة الإعداد، وهو أمر غير معتاد في مثل الحملات البريدية الجماعية هذه. في السابق رأينا مثل هذه التقنيات تستخدم فقط في الهجمات المستهدفة.

مثال على خطاب من المهاجمين مع طلب أسعار وأرشيف مع Agent Tesla.

 

من وجهة نظر المستلم، فإن علامة الإنذار الوحيدة التي يمكنه اكتشافها بالعين المجردة هي عنوان المرسل. نادرًا ما يتطابق اسم نطاقه مع اسم الشركة، بينما يختلف اسم المرسل عن الاسم الموجود في التوقيع، وهو ليس أمرًا معتادًا لعناوين العمل المشروعة. في المثال أعلاه، يتم إرسال البريد من عنوان “newsletter@”، الذي قد يكون مناسبًا بالنسبة لبريد تسويقي، ولكنه غير طبيعي على الإطلاق لرسالة بها طلب لمعرفة أسعار قائمة الأسعار.

ما هو حصان طروادة Agent Tesla؟

Agent Tesla – والذي تم تحديده من خلال حلولنا على أنه Trojan-PSW.MSIL.Agensla – هو برنامج ضار قديم يسرق المعلومات السرية ويرسلها إلى مشغلي الهجوم. أولًا وقبل كل شيء، يبحث عن بيانات الاعتماد المخزنة في برامج مختلفة: المتصفحات، وعملاء البريد الإلكتروني، وعملاء بروتوكول نقل الملفات/بروتوكول النسخ الآمن (FTP/SCP)، وقواعد البيانات، وأدوات الإدارة عن بُعد، وتطبيقات الشبكة الخاصة الافتراضية (VPN)، والعديد من تطبيقات المراسلة الفورية. ومع ذلك، فإن Agent Tesla قادر أيضًا على سرقة بيانات الحافظة وتسجيل ضربات المفاتيح والتقاط لقطات الشاشة.

يرسل Agent Tesla كل المعلومات المجمعة للمهاجمين عبر البريد الإلكتروني. ومع ذلك، فإن بعض تعديلات البرامج الضارة قادرة على نقل البيانات عبر تطبيق المراسلة Telegram أيضًا، أو تحميلها إلى موقع ويب أو خادم بروتوكول نقل الملفات (FTP).

يمكنك العثور على تفاصيل إضافية حول هذا البرنامج الضار والحملة، جنبًا إلى جنب مع مؤشرات التعرض لخطر، في منشور مدونة Securelist هذا.

كيف تحافظ على سلامتك

من الناحية المثالية، يجب إيقاف مثل هذه التهديدات الإلكترونية في مرحلة مبكرة — عندما تصل رسالة خبيثة إلى خادم بريد الشركة. في حين أن العين المجردة لا يمكنها دائمًا اكتشاف تهديد للوهلة الأولى، فإن ماسحات البريد عادةً ما تكون قادرة تمامًا على أداء مثل هذه المهام. لذلك، من الجيد حماية خادم البريد  بحل أمان   مناسب.

ومع ذلك، يجب عليك أيضًا التفكير في رفع مستوى الوعي بالأمن الإلكتروني بين موظفيك؛ على سبيل المثال، باستخدام  منصات التعلم عبر الإنترنت  .

للتأكد من عدم تمكين البرامج الضارة التي يرسلها المهاجمون بغض النظر عن أي شيء، يمكنك أيضًا التفكير في تزويد أجهزة الكمبيوتر الخاصة بموظفيك  بحل أمان   مناسب.

 

النصائح

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً!  برمجيات التنقيب المخفية!