هجوم إلكتروني "مُعقّد" يستهدف مستخدمي حواسيب ويندوز
رصد خبراء أمن المعلومات، حملة سيبرانية معقدة، تستغل وظيفة البحث في نظام Windows لخداع الضحايا لتحميل برامج ضارة.
ووفقاً لباحثين بمؤسسة Trustwave SpiderLabs، فأسلوب الاختراق المتبع في الهجوم الجديد يخفي نية المهاجم الحقيقية بذكاء فائق، مستغلة الثقة التي يضعها المستخدمون في واجهات الاستخدام المألوفة والإجراءات الشائعة مثل فتح مرفقات البريد الإلكتروني.
يبدأ الهجوم برسالة تصيد إلكتروني تتظاهر بأنها فاتورة رقمية أو مستند مهم، بحيث تكون متضمنة داخل ملف مضغوط بامتداد ومعه ملف HTML، وذلك لتتجاوز برامج مكافحة الفيروسات وبرامج أمان البريد الإلكتروني التي تتجاهل المحتويات المضغوطة.
عندما يقوم المستخدم بفتح ملف HTML، يتم تشغيل ميزة "ويندوز إكسبلورر Windows Explorer"، وهو محرك للبحث عن الملفات داخلياً على حاسوب المستخدم، ومن ثم يقوم محرك البحث على ويندوز بالبحث عن العناصر المسماة باسم "INVOICE" وذلك على متن خادم إلكتروني لدى خدمة كلاود فلير السحابية، دون علم المستخدم.
ثم يقوم الملف الخبيث بإعادة تسمية حافظة الملفات الخاصة بالملف المضغوط بعد فكه باسم Downloads، مما يخدع الضحايا للاعتقاد بأنهم ينظرون فعلياً إلى الملف الذي "نزلوه"، وليس ملف مضغوط، ويوجد بداخله الملف الذي يتوقعون تحميله من مرفقات بريدهم الإلكتروني.
طبيعة الهجوم
من بين الملفات المقدمة للضحايا هو مستند بامتداد .LNK يشير إلى ملف بامتداد .BAT مستضاف على نفس الخادم لدى كلاود فلير، والذي بمجرد تنشيطه يبدأ الهجوم الحقيقي على حاسوب المستخدم.
ولم يتمكن الباحثون من تحديد طبيعة الهجوم والمهمة التي يستهدف إنجازها على حاسوب الضحية، لأنهم بمجرد بدء تحليلهم للحملة، كان الخادم قد تم إيقافه، مما حال دون وصولهم إلى الحمولة البرمجية، وبالتالي، من المستحيل معرفة نوع البرامج الضارة التي كان المهاجمون يستهدفون بها حواسيب الضحايا.
أوصى الباحثون أن يحذر المستخدمون من رسائل البريد الإلكتروني الواردة من جهات مجهولة، وألا يقوموا بتحميل أي ملفات مرفقة دون التأكد من سلامتها.
يُذكر أن الهجمات السيبرانية المعتمدة على رسائل بريد إلكترونية احتيالية واستهدفت مؤسسات قطاع الأعمال في 2023 قد ارتفعت نسبتها بمعدل 94%، بحسب تقرير شركة Egree لتقديم خدمات البريد الإلكتروني.