بواسطة: Zscaler 

بدءًا من ديسمبر 2023، اكتشف فريق التهديدات ThreatLabz التابع لشركة زسكالر Zscaler جهة تهديد تنشئ مواقع ويب احتيالية مثل سكايب Skype وقوقل مت Google Meet وزووم Zoom لنشر البرامج الضارة. يقوم ممثل التهديد بنشر برامج تجسسية SpyNote RAT لمستخدمي أندرويد وأحصنة طروادة NjRAT وDCRat لمستخدمي ويندوز. توضح هذه المقالة كيف يمكن التعرف على عناوين الويبURL والملفات الضارة الخاصة بممثل التهديد على مواقع الاجتماعات الاحتيالية عبر الإنترنت هذه.

النقاط الرئيسية
* يقوم أحد جهات التهديد بتوزيع عائلات متعددة من البرامج الضارة باستخدام مواقع ويب وهمية مثل Skype وZoom وGoogle Meet.
* يقوم ممثل التهديد بتوزيع أحصنة طروادة للوصول عن بعد (RATs) بما في ذلك SpyNote RAT لمنصات Android وNjRAT وDCRat لأنظمة Windows.

نظرة عامة على الحملة
* استخدم المهاجم استضافة الويب المشتركة، حيث استضاف جميع مواقع الاجتماعات المزيفة عبر الإنترنت على عنوان IP واحد. جميع المواقع المزيفة كانت باللغة الروسية، بالإضافة إلى ذلك، استضاف المهاجمون هذه المواقع المزيفة باستخدام عناوين URL التي تشبه إلى حد كبير المواقع الفعلية.

تسلسل الهجوم
عندما يزور المستخدم أحد المواقع المزيفة، يؤدي النقر فوق زر Android إلى بدء تنزيل ملف APK ضار، بينما يؤدي النقر فوق زر Windows إلى تنزيل ملف BAT. يؤدي ملف BAT، عند تنفيذه، إلى تنفيذ إجراءات إضافية، مما يؤدي في النهاية إلى تنزيل حمولة RAT.

سكايب
أثناء التحقيق الذي أجريناه، اكتشفنا أن أول موقع مزيف، join-skype[.]info ، تم إنشاؤه في أوائل ديسمبر لخداع المستخدمين لتنزيل تطبيق Skype مزيف.

أشار زر ويندوز إلى ملف يسمى Skype8.exe، وأشار زر قوقل بلاي إلى Skype.apk (لم يكن أي من هذين الملفين متاحًا في وقت التحليل). تمت إعادة توجيه زر Apple App Store إلى https://go.skype.com/skype.download.for.phone.iphone ، مما يشير إلى أن جهة التهديد لم تكن تستهدف مستخدمي iOS ببرامج ضارة.

جوجل ميت
في أواخر ديسمبر، أنشأ المهاجم موقعًا مزيفًا آخر، online-cloudmeeting[.]pro ، يحاكي قوقل مت Google Meet، تمت استضافته على online-cloudmeeting[.]pro/gry-ucdu-fhc/ حيث تم إنشاء المسار الفرعي gry-ucdu-fhc عمدًا ليشبه رابط الانضمام إلى Google Meet.

يوفر الموقع المزيف روابط لتنزيل تطبيق Skype مزيف لنظامي التشغيل أندرويد و/أو ويندوز. يؤدي رابط ويندوزإلى ملف BAT يسمى updateZoom20243001bit.bat ، والذي يقوم بدوره بتنزيل الحمولة النهائية المسماة ZoomDirectUpdate.exe . هذه الحمولة النهائية عبارة عن ملف أرشيف WinRAR يحتوي على DCRat، ومعبأ بـ Eziriz .NET Reactor. بينما أدى رابط أندرويد في هذا الشكل إلى ملف SpyNote RAT APK المسمى meet.apk .

زووم
في أواخر يناير، لاحظنا ظهور موقع زووم Zoom مزيف us06webzoomus[.]pro يتميز بمسار فرعي يشبه إلى حد كبير معرف الاجتماع الذي تم إنشاؤه بواسطة عميل Zoom. إذا قام المستخدم بالنقر فوق رابط قوقل بلايGoogle Play، فسيتم تنزيل ملف يسمى Zoom02.apk يحتوي على SpyNote RAT. على غرار موقع Google Meet المزيف، عندما ينقر المستخدم على زر ويندوز، فإنه يقوم بتنزيل ملف BAT، والذي يقوم بدوره بتنزيل حمولة DCRat.

بالإضافة إلى استضافة DCRat، تحتوي مواقع Google Meet وZoom المزيفة أيضًا على دليل مفتوح مع ملفين إضافيين قابلين للتنفيذ لنظام ويندوز باسم driver.exe و meet.exe (داخل الأرشيف gry-ucdu-fhc.zip )، وهي NjRAT. يشير وجود هذه الملفات إلى أن المهاجم قد يستخدمها في حملات أخرى، نظرًا لأسمائها المميزة.

خاتمة
يوضح بحثنا أن الشركات قد تتعرض لتهديدات تنتحل صفة تطبيقات الاجتماعات عبر الإنترنت. في هذا المثال، يستخدم أحد ممثلي التهديد هذه الإغراءات لتوزيع برامج ضارة RATs لنظامي التشغيل Android وWindows، والتي يمكنها سرقة المعلومات السرية وتسجيل ضغطات المفاتيح وسرقة الملفات. تسلط النتائج التي توصلنا إليها الضوء على الحاجة إلى اتخاذ تدابير أمنية قوية للحماية من تهديدات البرامج الضارة المتقدمة والمتطورة وأهمية التحديثات المنتظمة والتصحيحات الأمنية.