حملة “إيفالوشن” الخبيثة تستخدم خدعة “كليك-فيكس” لنشر برمجيات سرقة وسيطرة عن بُعد

 حملة "إيفالوشن" الخبيثة تستخدم خدعة "كليك-فيكس" لنشر برمجيات سرقة وسيطرة عن بُعد
 حملة "إيفالوشن" الخبيثة تستخدم خدعة "كليك-فيكس" لنشر برمجيات سرقة وسيطرة عن بُعد
شارك هذا الخبر

كشف باحثون أمنيون عن حملات برمجيات خبيثة جديدة تستخدم تكتيك “كليك-فيكس” الاجتماعي الهندسي لخداع المستخدمين ونشر برنامجي “أماتيرا” لسرقة البيانات و”نت سابورت” للتحكم عن بُعد. تُتْعَقب هذه الأنشطة، التي رُصدت هذا الشهر، تحت اسم “إيفالوشن” (EVALUSION) من قبل شركة eSentire الأمنية، وتُمثل تهديداً متطوراً يجمع بين خداع المستخدم وتقنيات التهرب المتقدمة.

أماتيرا: تطور خطير في برمجيات السرقة

يُعد “أماتيرا” تطوراً لبرنامج “أكرید رین” السارق للبيانات، الذي كان متاحاً سابقاً بنموذج البرمجيات الخبيثة كخدمة. ويتميز هذا البرنامج الخطير بقدرات متطورة في استخراج البيانات، حيث يستهدف:

  • المحافظ الرقمية للعملات المشفرة

  • المتصفحات وتطبيقات المراسلة

  • عملاء نقل الملفات وخدمات البريد الإلكتروني

ويستخدم “أماتيرا” تقنيات تهرب متقدمة مثل “WoW64 SysCalls” للتغلب على آليات الحماية التي تستخدمها أنظمة مكافحة الفيروسات ومنتجات اكتشاف الاستجابة للانتهابات. ويتوفر البرنامج للشراء عبر خطط اشتراك تتراوح بين 199 دولاراً شهرياً و1,499 دولاراً سنوياً، مما يجعله في متناول مجموعة واسعة من الجهات الخبيثة.

آلية الهجوم: خداع “كليك-فيكس” المتقن

تعتمد الحملة على تكتيك “كليك-فيكس” الاجتماعي الهندسي، حيث يتم خداع المستخدمين لتنفيذ أوامر خبيثة عبر مربع حوار “تشغيل” في Windows under pretext إكمال التحقق من صحة reCAPTCHA على صفحات التصيد الاحتيالية. تبدأ العملية متعددة المراحل باستخدام ملف “mshta.exe” لتشغيل سكريبت PowerShell مسؤول عن تحميل ملف .NET من خدمة استضافة الملفات MediaFire.

يتم حقن الحمولة الخبيثة – وهي ملف DLL لبرنامج “أماتيرا” المعبأ باستخدام أداة التشفير “PureCrypter” – في عملية “MSBuild.exe” النظامية، ثم يبدأ برنامج السرقة في جمع البيانات الحساسة والاتصال بخادم خارجي لتنفيذ أمر PowerShell يحمل وينشط برنامج “نت سابورت” للتحكم عن بُعد.

استهداف ذكي: انتقاء الضحايا بعناية

يكشف التحليل الأمني عن ذكاء ملحوظ في آلية الهجوم، حيث يقوم برنامج “أماتيرا” بفحص تلقائي لتحديد ما إذا كان الجهاز المستهدف يستحق الاستهداف:

  • التحقق من انتماء الجهاز لنطاق نطاقي (دومين)

  • البحث عن ملفات ذات قيمة مثل المحافظ الرقمية للعملات المشفرة

  • منع تحميل برنامج التحكم إذا لم تتحقق الشروط السابقة

هذا الانتقاء الذكي يزيد من فعالية الهجوم ويصعب عملية اكتشافه، حيث يتجنب المهاجمون الأجهزة التي لا تحقق عائدا مجديا.

اتساع نطاق التهديد: حملات تصيد متعددة الأساليب

تزامن اكتشاف هذه الحملة مع رصد عدة حملات تصيد احتيالية تنتشر عائلات متنوعة من البرمجيات الخبيثة:

  • مرفقات البريد الإلكتروني التي تتظاهر بأنها فواتير وتنشر دودة XWorm

  • المواقع المخترقة التي تعيد توجيه الزوار إلى صفحات “كليك-فيكس” مزيفة

  • مواقع Booking.com المزيفة التي تعرض تحقيقات CAPTCHA مزورة

  • رسائل البريد الإلكتروني التي تنتحل هوية إشعارات “تسليم البريد”

وتستخدم بعض هذه الحملات أدوات تصيد متطورة مثل “سيفاس” و”تايكون 2FA” التي تتميز بتقنيات تعمية فريدة تعيق عمل الماسحات الضوئية المضادة للتصيد وتعرقل قواعد YARA القائمة على التوقيعات.

وسوم
محمد وهبى
محمد وهبى
المقالات: 695

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة