أعلنت مختبرات فورتيجارد FortiGuard التابعة لشركة فورتينت Fortinet عن اكتشاف حملة تصيد جديدة تستهدف مستخدمي نظام تشغيل ويندوز، حيث تعتمد على استخدام أداة التحكم عن بعد المعروفة باسم Remcos RAT. 

تفاصيل الحملة

- البداية: تبدأ الحملة برسالة بريد إلكتروني تصيد تحتوي على ملف إكسل Excel ضار، يبدو كفاتورة لطلب ما، مما يحفز الضحية على فتح الملف.
  
- استغلال الثغرة: عند فتح الملف، يتم استغلال ثغرة CVE-2017-0199، والتي تسمح بتنفيذ تعليمات برمجية عن بُعد. هذا الاستغلال يقوم بتحميل وتنفيذ ملف HTA (تطبيق HTML) ضار على جهاز الضحية.

- تنفيذ التعليمات البرمجية: يتم استخدام عدة لغات برمجة مثل JavaScript وVBScript وPowerShell لحماية التعليمات البرمجية من الكشف والتحليل. بعد ذلك، يتم تحميل ملف تنفيذي (dllhost.exe) يطلق مجموعة من التعليمات البرمجية الخبيثة.

الآثار المترتبة

- التحكم الكامل: بمجرد تنفيذ التعليمات البرمجية، يحصل المهاجمون على السيطرة الكاملة على جهاز الضحية، مما يمكنهم من جمع المعلومات الحساسة وتنفيذ أوامر خبيثة أخرى.

- التقنيات المستخدمة: تعتمد الأداة على تقنيات متقدمة لحماية نفسها من التحليل، مثل استخدام معالجات استثناء موجهة وتشفير التعليمات البرمجية.

الحماية المتاحة

تؤكد Fortinet أن عملاءها محميون بالفعل من هذه الحملة عبر خدمات مثل FortiGuard AntiSPAM وWeb Filtering وIPS وAntiVirus. كما أن الحلول المقدمة من Fortinet تتضمن حماية متقدمة ضد محاولات التصيد المعروفة وغير المعروفة.

التوصيات

ينصح المستخدمون بالبقاء على اطلاع حول التهديدات الجديدة والتسجيل للحصول على تنبيهات مستقبلية. كما يُشجع المستخدمون على الاستفادة من التدريب المجاني المتاح حول الأمن السيبراني لتعزيز وعيهم حول كيفية التعرف على هجمات التصيد.

تعتبر هذه الحملة تذكيرًا هامًا للمستخدمين بضرورة توخي الحذر عند فتح المرفقات في رسائل البريد الإلكتروني، حتى لو بدت شرعية.