أصدرت شركة الأمن السيبراني بروفبوينت Proofpoint أحدث نشراتها في 17 أكتوبر، حيث كشفت أن مجموعة التهديد التي تحمل الاسم الرمزي TA569 كانت تستخدم مثل هذه الإغراءات لنشر برامجها الضارة SocGholish لمدة خمس سنوات.

يُعتقد أن المجموعة هي وسيط وصول أولي - حيث تقوم بتسهيل عصابات برامج الفدية التي تبيع البيانات الحساسة التي تم الحصول عليها بشكل غير قانوني لأغراض اختراق الدفاعات السيبرانية للمنظمة المستهدفة.

قالت Proofpoint: "تشير تحديثات المتصفح الزائفة إلى مواقع الويب المخترقة التي تعرض ما يبدو أنه إشعار من مطور المتصفح مثل Chrome أو Firefox أو Edge، لإبلاغهم بأن برنامج المتصفح الخاص بهم بحاجة إلى التحديث". "عندما ينقر المستخدم على الرابط، فإنه لا يقوم بتنزيل تحديث شرعي للمتصفح، بل يقوم بتنزيل برامج ضارة."

ويضيف محلل الأمن السيبراني أنه يراقب حاليًا "أربع مجموعات تهديد مختلفة على الأقل" تستخدم هذا التكتيك. ومع ذلك، فإنها تضيف أنه ليست كل المجموعات الموجودة على رادارها تستخدم نفس الإغراء لتوصيل نفس الحمولة.

وأشارت Proofpoint إلى انه "من المهم تحديد الحملة ومجموعة البرامج الضارة التي ينتمي إليها التهديد، للمساعدة في توجيه استجابة المدافع". "تتغير مؤشرات الاختراق المحددة المرتبطة بالأنشطة المحددة بانتظام، حيث يقوم ممثلو التهديد بنقل البنية التحتية الخاصة بهم بشكل روتيني وتغيير التفاصيل في حمولاتهم."

توصي Proofpoint محترفي الأمن السيبراني الآخرين، أو الهواة المعنيين، باستشارة حساب @monitorsg على منصة Infosec Exchange، واصفة إياه بأنه "مورد عام مفيد للمتابعة إلى جانب التفاصيل الحديثة حول الحمولات وتغييرات البنية التحتية."

المصدر: cybernews