حدد الباحثون في مختبرات فورتيغارد FortiGuard Labs حملة تصيد جديدة تستخدم مستندات Microsoft Word لتوزيع برامج ضارة يمكنها تسجيل ما يكتبه الضحية، وسحب أموال العملة المشفرة، وسرقة البيانات الحساسة.
وقالت الشركة إنها حصلت على مستند Word يحتوي على عنوان URL ضار مصمم لإغراء الضحايا بتنزيل أداة تحميل البرامج الضارة، مشيرةً إلى أن الهجوم أظهر تقنيات متطورة لتجنب الكشف والحفاظ على استمرارية الأنظمة المخترقة.
تضمنت حملة الهجوم الإلكتروني التي كشفت عنها شركة FortiGuard Labs سلسلة معقدة من الأحداث. بدأ الأمر بمستند Word ضار تم توزيعه عبر رسائل البريد الإلكتروني التصيدية، مما دفع الضحايا إلى تنزيل أداة تحميل تنفذ سلسلة من حمولات البرامج الضارة.
تقوم رسالة البريد الإلكتروني التصيدية بتسليم مستند Word كمرفق، وتقديم صورة غير واضحة عمدًا وreCAPTCHA مزيفًا لإغراء المستلم بالنقر عليه. يؤدي النقر إلى تنشيط رابط ضار مضمن في الملف.
يقوم محمل RedLine Clipper بسرقة العملة المشفرة عن طريق تغيير عنوان المحفظة المخزن في حافظة الضحية إلى عنوان المهاجم. إنه يعمل مع العديد من العملات المشفرة مثل Bitcoin وEthereum وDogecoin وLitecoin وDashcoin وMonero.
يقوم RedLine Clipper بمراقبة ما ينسخه المستخدمون، مع التركيز بشكل خاص على عناوين المحفظة الطويلة والمعقدة، والتي يصعب كتابتها يدويًا. بمجرد اكتشاف عنوان المحفظة، فإنه يقوم بتبديله بشكل سري مع عنوان المهاجم دون علم المستخدم.
ومن ناحية أخرى، يستطيع العميل Tesla تسجيل ضغطات المفاتيح وتجميع قائمة من البرامج المحددة المثبتة على جهاز الضحية، بما في ذلك متصفحات الويب وعملاء البريد الإلكتروني.
أما الحمولة الثالثة، OriginBotnet، فيمكنها جمع البيانات الحساسة من كمبيوتر الضحية، والاتصال بخادم التحكم الخاص بالمتسللين وتنزيل المزيد من الملفات من الخادم لأداء مهام مثل تسجيل ضغطات المفاتيح أو استعادة كلمات المرور على الأجهزة المخترقة.
المصدر: FortiGuard Labs, Recorded Future