حذّر باحثون في الأمن السيبراني من حملة تصيد احتيالي جديدة تستخدم أداة NetBird الشرعية للوصول عن بُعد، بهدف استهداف المديرين الماليين (CFOs) والتنفيذيين في القطاعات المصرفية والطاقة والتأمين والاستثمار عبر أوروبا، أفريقيا، كندا، الشرق الأوسط، وجنوب آسيا.
وفقًا لتحليل شركة Trellix، تبدأ الهجمات برسالة بريد إلكتروني مزيفة تنتحل صفة مسؤول توظيف في شركة Rothschild & Co.، وتدعي تقديم “فرصة استراتيجية” مع الشركة. تحتوي الرسالة على رابط تصيد مخفي بدلاً من ملف PDF مزعوم، والذي يُحوّل الضحايا إلى عنوان URL يستضيفه Firebase.
آلية الهجوم متعددة المراحل:
-
الخداع عبر البريد الإلكتروني: يتم إقناع الضحايا بحل اختبار CAPTCHA لفك تشفير الرابط الضار.
-
تنزيل البرمجيات الخبيثة: يؤدي حل الـ CAPTCHA إلى تنزيل ملف ZIP يحتوي على نصوص VBScript تخترق النظام.
-
تثبيت أدوات الوصول عن بُعد: يتم تثبيت NetBird وOpenSSH وإنشاء حسابات خفية لضمان استمرارية الوصول.
-
التخفي: يحذف المهاجمون أي اختصارات لأداة NetBird لتجنب الاكتشاف.
تكتيكات متطورة لتجنب الاكتشاف:
-
استخدام بوابات CAPTCHA مخصصة لتفادي أدوات الكشف عن التصيد.
-
الاعتماد على أدوات شرعية مثل NetBird وOpenSSH لإخفاء النشاط الضار.
-
تعدد المراحل يجعل الهجوم أكثر دقة ويصعب اكتشافه.
في سياق متصل كشفت Trellix عن وجود حملات مماثلة تعود إلى عام كامل، مما يشير إلى أن هذه الهجمات قد تكون نشطة منذ فترة طويلة. كما لاحظ الباحثون تزايد اعتماد القراصنة على منصات التصيد كخدمة (PhaaS) مثل:
-
Haozi: منصة صينية “جاهزة للاستخدام” تتيح للمهاجمين تنفيذ هجمات تصيد بتكلفة 2000 دولار سنويًا، مع دعم فني عبر Telegram.
-
Tycoon 2FA: تُستخدم لاختراق أنظمة المصادقة الثنائية (2FA).
نصائح أمنية:
-
تدريب الموظفين على التعرف على رسائل التصيد الاحتيالية.
-
تفعيل المصادقة المتعددة العوامل (MFA) لمنع هجمات سرقة البيانات.
-
مراقبة النشاط غير المعتاد على الشبكات، خاصةً عند استخدام أدوات الوصول عن بُعد.
