كشف باحثون في Trellix عن حملة جارية تستخدم تحديثات متصفح كروم Chrome وهمية لجذب الضحايا لتثبيت أداة برنامج إدارة عن بعد تسمى NetSupport Manager، والتي تستخدمها الجهات الخبيثة لسرقة المعلومات والسيطرة على أجهزة الكمبيوتر الخاصة بالضحايا.
وأوضح المركز أنه في أواخر يونيو 2023، لاحظ حملة تحديث متصفح وهمية من خلال اكتشاف المرحلة الأولى من تنزيل JavaScript. تستخدم الحملة المواقع المخترقة لتقديم تحديث وهمي لمتصفح كروم Chrome لإغراء الضحايا، مما يدفعهم إلى تثبيت أداة برمجيات الإدارة عن بعد (RAT) تسمى NetSupport Manager.
يتم حقن مواقع الويب المخترقة بعلامة نصية HTML بسيطة تقوم بتحميل محتوى جافا سكريبت من خادم أوامر وسيطرة عامل التهديد. من المحتمل أن يكون إدخال البرنامج الضار آليًا ويتبع بنية دليل معينة.
في هذه الحملة، تم استخدام مجموعة من لغات البرمجة النصية الأصلية لنظام التشغيل Windows مثل VBScript و Batch script معًا، جنبًا إلى جنب مع أداة نقل البيانات الشائعة، curl، والتي كانت متوفرة في Windows منذ عام 2017.
قال جوزيف تال، نائب رئيس مركز Trellix Advanced Research Center، إن "كروميوم Chromium الذي يمتلك 63.55٪ من حصة السوق هو الآن المتصفح الأكثر استهدافًا بحكم الواقع لهجمات NetSupport RAT، بسبب الاستخدام العالمي له.
قد تستخدم العديد من الجهات الفاعلة في مجال التهديد تقنيات متشابهة تقريبًا في هجماتهم إذا نجحت هذه الأساليب وأثبتت فعاليتها. في هذه الحملة، لوحظ أن الجهات الفاعلة في التهديد تستمر في استخدام إغراء تحديث متصفح مزيف، والذي تم استخدامه في هجمات مختلفة.
يستمر إساءة استخدام أدوات التحكم عن بعد المتاحة بسهولة لأنها أدوات قوية قادرة على تلبية احتياجات الخصوم لتنفيذ هجماتهم وتحقيق أهدافهم. في حين قد لا يتم تحديث RATs باستمرار، فإن الأدوات والتقنيات اللازمة لتسليم هذه الحمولات للضحايا المحتملين ستستمر في التطور.
يقوم الفاعلون المعنيون بالتهديد بتحديث إجراءات وتكتيكات وتقنيات الاختراق TTPs باستمرار لتجنب الاكتشاف. يستخدمون الأدوات المتاحة في البيئة المستهدفة لتجنب التنزيل غير الضروري وإنشاء المكونات المخصصة. يستخدمون أيضًا لغات نصية يمكن تشويشها بطرق مختلفة، مما يشكل تحديًا في إنشاء اكتشاف ثابت.
المصدر: Trellix