حملة تصيّد تستغل السير الذاتية المزيفة لسرقة بيانات المؤسسات وزرع مُعدّن للعملات الرقمية

حملة تصيّد تستغل السير الذاتية المزيفة لسرقة بيانات المؤسسات وزرع مُعدّن للعملات الرقمية
حملة تصيّد تستغل السير الذاتية المزيفة لسرقة بيانات المؤسسات وزرع مُعدّن للعملات الرقمية
شارك هذا الخبر

رصد باحثو شركة Securonix حملة تصيّد جديدة تستهدف بيئات الشركات الناطقة بالفرنسية عبر إرسال سير ذاتية مزيفة مرفقة بملفات VBScript مشفرة بشكل معقد. هذه الملفات تُقدَّم على أنها مستندات سيرة ذاتية، لكن بمجرد تشغيلها تبدأ سلسلة عدوى سريعة تجمع بين سرقة بيانات الاعتماد، استخراج الملفات، وزرع مُعدّن عملات رقمية من نوع Monero.
الحملة أُطلق عليها اسم FAUX#ELEVATE، وتتميز باستغلال خدمات شرعية مثل Dropbox لاستضافة الحمولة، مواقع ووردبريس مغربية لإدارة خوادم التحكم (C2)، وبنية البريد الإلكتروني mail[.]ru لتهريب بيانات المتصفحات والملفات.

خصائص الملف الخبيث

الملف الأولي عبارة عن سكربت VBScript ضخم يصل حجمه إلى 9.7 ميغابايت، يحتوي على أكثر من 224 ألف سطر، معظمها تعليقات عشوائية لإخفاء الكود الحقيقي الذي لا يتجاوز 266 سطراً.
عند تشغيله، يُظهر رسالة خطأ باللغة الفرنسية توحي بأن الملف تالف، بينما في الخلفية يقوم بتنفيذ فحوصات لتجنب بيئات التحليل، ويُدخل المستخدم في حلقة UAC لإجباره على منحه صلاحيات المسؤول.
بمجرد الحصول على الامتيازات، يقوم بتعطيل أدوات الحماية، تعديل إعدادات Windows Defender، تعطيل UAC عبر السجل، ثم يبدأ بجلب أرشيفات محمية بكلمة مرور من Dropbox تحتوي على أدوات سرقة بيانات ومُعدّن العملات.

الأدوات المستخدمة في السلسلة الخبيثة

من أبرز الأدوات التي تم رصدها:

  • mozilla.vbs: لسرقة بيانات متصفح Firefox.
  • walls.vbs: لاستخراج ملفات سطح المكتب.
  • mservice.exe: مُعدّن Monero يعتمد على أداة XMRig ويستمد إعداداته من موقع ووردبريس مخترق.
  • WinRing0x64.sys: برنامج تشغيل شرعي يُستخدم لتعزيز قدرة المعالج على التعدين.
  • RuntimeHost.exe: مكون خبيث دائم يعدّل قواعد جدار الحماية ويتواصل دورياً مع خادم C2.

كما يستغل المهاجمون مشروع ChromElevator للتحايل على حماية التشفير المرتبطة بالتطبيقات في متصفحات Chromium، مما يسمح بسرقة بيانات حساسة من ملفات تعريف المستخدم.

سرعة التنفيذ وخطورة الاستهداف

ما يجعل هذه الحملة خطيرة هو سرعة التنفيذ؛ إذ تكتمل سلسلة العدوى في حوالي 25 ثانية فقط من لحظة تشغيل الملف وحتى تهريب بيانات الاعتماد. إضافة إلى ذلك، يعتمد السكربت على آلية Domain-join gate عبر WMI لضمان أن الحمولة تُنفذ فقط على أجهزة مرتبطة بنطاق مؤسسي، ما يعني أن كل جهاز مصاب يمثل قيمة عالية للمهاجمين من خلال سرقة بيانات الشركات واستغلال مواردها للتعدين.

دلالات أمنية

الحملة تُظهر مزيجاً من تقنيات Living-off-the-land، حيث يتم استغلال خدمات شرعية وبنية تحتية موثوقة لتجاوز أنظمة الدفاع، مع استخدام أساليب تضليل متقدمة مثل الرسائل المزيفة وحشو الأكواد. هذا يفرض على فرق الأمن المؤسسي تعزيز قدراتها في كشف السلوكيات غير الطبيعية، ومراجعة سياسات البريد الإلكتروني، وتقييد تشغيل السكربتات غير الموثوقة.

وسوم
محمد طاهر
محمد طاهر
المقالات: 1371

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة