عملية “تاكس شادو” تستغل الضرائب لنشر برمجيات خبيثة متعددة المراحل

رصدت شركة CYFIRMA حملة تصيّد إلكتروني موجهة ضد مستخدمين في الهند، تحمل طابعاً ضريبياً رسمياً، وتقوم بتسليم إطار برمجي متطور للبرمجيات الخبيثة عبر سلسلة من المراحل. تبدأ الحملة برسالة بريد إلكتروني مزيفة تتظاهر بأنها إشعار ضريبي صادر عن جهة رسمية هندية، مستخدمة شعارات حكومية ولغة قائمة على التهديد بالامتثال والعقوبات، ما يدفع الضحايا إلى التفاعل مع موقع تصيّد خبيث.

مراحل العدوى عبر أرشيف خبيث

بعد الدخول إلى الموقع، يُطلب من الضحايا تنزيل ملف مضغوط يحتوي على ثلاثة مكونات أساسية:

  • कर विवरण.exe
  • SbieDll.dll
  • SbieDll.bin

هذه الملفات تعمل بشكل متكامل لتأسيس دورة العدوى الكاملة، حيث يبدأ التنفيذ من الملف التنفيذي، ثم يتم تحميل المكتبة الديناميكية، وأخيراً يُستخدم الملف الثنائي لإكمال عملية التثبيت الخبيثة.

بنية برمجية عالية المرونة

الحملة تعتمد على إطار برمجي خبيث يتميز بالمرونة العالية، إذ يتكون من وحدات متعددة يمكن تعديلها أو استبدالها بسهولة. كما يتضمن تقنيات متقدمة لتفادي الدفاعات الأمنية، مثل أساليب مقاومة التحليل، وتنفيذ الحمولة مباشرة في الذاكرة لتجنب الكشف التقليدي. هذه القدرات تجعل من الصعب على أنظمة الحماية رصد النشاط الخبيث في الوقت المناسب.

اتصالات مستمرة عبر WebSocket

واحدة من أبرز خصائص هذا الهجوم هي إنشاء اتصالات مستمرة عبر بروتوكول WebSocket، ما يمنح المهاجمين قناة اتصال مستقرة مع الأجهزة المصابة. هذا يتيح لهم التحكم عن بُعد، وتنفيذ أوامر إضافية، وضمان استمرار الوصول حتى بعد إعادة تشغيل النظام أو محاولة تنظيفه.

دلالات أمنية للهند والمنطقة

استخدام موضوع الضرائب كطُعم يعكس إدراك المهاجمين لحساسية هذا المجال بالنسبة للمستخدمين، خاصة في مواسم الإقرارات الضريبية. كما أن اعتمادهم على إطار برمجي متعدد المراحل يوضح أن الهجمات السيبرانية في المنطقة باتت أكثر تعقيداً، مع تركيز على تجاوز الدفاعات التقليدية والاعتماد على تقنيات تنفيذ في الذاكرة. هذا يفرض على المؤسسات والأفراد تعزيز وعيهم الأمني، وتبني حلول متقدمة للكشف عن الهجمات التي تتجاوز الأنماط التقليدية.

محمد وهبى
محمد وهبى
المقالات: 1235

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.