• 09/02/2023
  •  https://dg.samrl.org/l?a4702 
    هاكرز ينقلون برمجيات ضارة عبر تطبيق تدوين الملاحظات (ون نوت)
    الحقوق الرقمية |

    يقول باحثون في شركة الأمن السيبراني بروف بوينت Proofpoint إن الازدياد المفاجئ في الملفات الضارة خلال الشهرين الماضيين يرجع على الأرجح إلى تكيف المتسللين مع إجراءات  مايكروسوفت Microsoft الصارمة حيال وحدات الماكرو -وهي تسلسلات من الأحداث التي يمكن تشغيلها مرة أخرى للمساعدة في المهام المتكررة مثل ضغطات المفاتيح ونقرات الماوس- مما يقودهم إلى البحث عن طرق أخرى لتهريب البرامج الضارة التي تم الكشف عنها في الماضي.

    يقول الباحثون إن المرفقات التي لاحظتها الشركة في البداية لم يتم تسجيلها على أنها ضارة مع برامج مكافحة الفيروسات، مما يجعل من المحتمل أن رسائل البريد الإلكتروني التي تظهر في البريد الوارد حققت معدل مرتفع من الإصابة.

    لا تزال البرامج الضارة التي يتم نقلها عبر "ون نوت" OneNote تتطلب من المستخدمين النقر فوق رسائل التحذير التي ترسلها مايكروسوفت Microsoft عند فتح ملفات المرفقات. يلجأ العديد من الجهات الفاعلة في التهديد إلى ون نوت باعتباره ناقلًا للتهديد، لكن بروف بوينت  تقول إن تبني هذا التكتيك من قبل ممثل التهديد الذي يتتبعه -باعتباره TA577- أمر مثير للقلق بشكل خاص.

    "يشير اعتماد TA577 - وسيط وصول أولي يسهل متابعة الإصابات للبرامج الضارة الإضافية بما في ذلك برامج الفدية- لـ ون نوت إلى أن الجهات الفاعلة الأخرى الأكثر تطورًا ستبدأ في استخدام هذه التقنية قريبًا. وهذا أمر مقلق، كما تقول بروف بوينت.

    تصف الشركة الوسيط TA577 بأنه "عامل تهديد منتج للجرائم الإلكترونية" وتشير إلى أنه مرتبط بحوادث ريڤيل REvil (وهي عملية تقوم فيها مجموعة أساسية من المتسللين بإنشاء والحفاظ على جزء قوي من البرامج الضارة التي يمكنهم توزيعها على المتسللين الآخرين مقابل ثمن) وبرمجيات الفدية ransomware، بالإضافة إلى ارتباطه ببرنامج Black Basta الضار الذي يستخدم أدوات وأجزاء مختلفة من البرامج الضارة لنشر برامج الفدية الخاصة به إلى أنظمة أخرى بعيدة في الشبكة. 

    تحتوي المستندات التي أرسلها المتسللون على ملفات مضمنة "غالبًا ما تكون مخفية خلف رسم يشبه الزر". عندما ينقر المستخدم نقرًا مزدوجًا فوق الملف المضمن -ويتجاوز تحذيرات أمان مايكروسوفت- يتم تنفيذ تعليمات الملف الضار،بما في ذلك: AsyncRAT (واحدة من أحصنة طروادة الأكثر شعبية ومفتوحة المصدر) وعائلة البرامج الضارة QuasarRAT و XWorm (نوع من البرمجيات الضارة التي تؤدي مجموعة متنوعة من المهام، بما في ذلك تسجيل المفاتيح، والتقاط الشاشة، والتحديث التلقائي، والتدمير الذاتي، وتنفيذ البرنامج النصي، وبرامج الفدية) وأداة السرقة ردلاين Redline التي يتم توزيعها على أنها ألعاب وتطبيقات وخدمات، وكذا البرنامج الضار آجنت تسلا AgentTesla الذي يوفر وصولاً عن بُعد إلى نظام مخترق يُستخدم بعد ذلك لتنزيل أدوات المرحلة الثانية الأكثر تعقيدًا، بما في ذلك برامج الفدية) و حصان طروادة للوصول عن بُعد NetWire والقادر على سرقة كلمات المرور وتسجيل لوحة المفاتيح، ويتضمن إمكانات التحكم عن بُعد).

    بروف بوينت ليست شركة الأمن السيبراني الوحيدة التي لاحظت مؤخرًا انتقال المتسللين إلى ون نوت، حيث اكتشفت شركة تراست ويڤ Trustwave في ديسمبر حملة تستخدم ون نوت لنقل البرامج الضارة الخاصة بـ برمجية فورم بوك FormBook الضارة التي تقوم بسرقة أنواع مختلفة من البيانات من الأنظمة المصابة، بما في ذلك بيانات الاعتماد المخزنة مؤقتًا في متصفحات الويب ولقطات الشاشة ونقرات المفاتيح.


    المصدر: Bank Info Security | ترجمة بتصرف
     


  •  
    جميع الحقوق محفوظة لمنظمة سام © 2023، تصميم وتطوير