في حادثة حديثة، استخدم المحتالون تقنية "فيشينغ" الصوتي عبر مكالمات مايكروسوفت تيمز Microsoft Teams لاستهداف ضحية، مما أدى إلى تثبيت برمجيات خبيثة تُعرف باسم DarkGate. هذه البرمجيات تُعتبر من أخطر التهديدات الإلكترونية، حيث تتيح للمهاجمين السيطرة على الأنظمة عن بُعد وسرقة المعلومات الحساسة.
تفاصيل الهجوم
بدأت القصة عندما تلقت الضحية سلسلة من الرسائل الإلكترونية المريبة، تلتها مكالمة عبر Microsoft Teams من شخص ادعى أنه موظف في شركة متعاقدة معها. خلال المكالمة، تم إقناع الضحية بتنزيل تطبيق AnyDesk، وهو برنامج شائع للوصول عن بُعد، بدلاً من تطبيق الدعم الفني الخاص بـ Microsoft الذي فشل في التثبيت.
بعد تحميل AnyDesk، تمكن المحتال من الوصول إلى جهاز الضحية، حيث قام بإسقاط عدة ملفات مشبوهة، بما في ذلك ملف تم التعرف عليه كـ Trojan.AutoIt.DARKGATE.D. هذا الملف سمح للمهاجم بتنفيذ سلسلة من الأوامر التي أدت إلى الاتصال بخادم القيادة والتحكم (C&C) وتحميل حمولة ضارة أخرى.
خطوات الهجوم
1. الوصول الأولي: استخدم المحتالون أساليب اجتماعية معقدة لإقناع الضحية بتنزيل البرنامج الضار.
2. تنفيذ البرمجيات: بعد تحميل AnyDesk، تم تنفيذ أوامر خبيثة باستخدام Autoit3.exe لجمع معلومات النظام والاتصال بالخادم الضار.
3. التواصل مع خادم C&C: تم استخدام Autoit3.exe لإطلاق سكربت DarkGate الذي قام بالتواصل مع عنوان IP خارجي يُعتقد أنه خادم قيادة وتحكم.
4. النشر المستمر: بعد تنفيذ البرمجيات، أنشأ المهاجمون ملفات جديدة وإدخالات في السجل لضمان استمرارية وجود البرمجيات الخبيثة على الجهاز.
التوصيات الأمنية
لتجنب مثل هذه الهجمات، يُنصح باتباع الممارسات الأمنية التالية:
- تحقق من موثوقية مقدمي الدعم الفني: يجب على المؤسسات التأكد من صحة ادعاءات أي جهة خارجية قبل منح الوصول عن بُعد إلى الأنظمة.
- تطبيق المصادقة متعددة العوامل (MFA): هذه الإضافة تعزز الأمان عند استخدام أدوات الوصول عن بُعد.
- تدريب الموظفين: يجب توعية الموظفين حول أساليب الهندسة الاجتماعية والمخاطر المرتبطة بالمكالمات غير المرغوب فيها.