كشف باحثون في الأمن السيبراني عن حملة خبيثة جديدة تستخدم موقعًا مزيفًا يدّعي أنه يقدم برنامج مكافحة الفيروسات Bitdefender لخداع الضحايا وتنزيل حصان طروادة للتحكم عن بعد المعروف باسم Venom RAT.
بحسب تقرير صادر عن فريق DomainTools Intelligence (DTI) ، فإن الحملة تهدف إلى تحقيق مكاسب مالية من خلال اختراق بيانات تسجيل الدخول، وسرقة محافظ العملات الرقمية، وبيع الوصول إلى الأنظمة المخترقة.
آلية عمل الهجوم
– الموقع المزيف bitdefender-download[.]com يطلب من الزوار تنزيل برنامج مكافحة الفيروسات، وعند النقر على زر “Download for Windows”، يتم تنزيل ملف يحتوي على برنامج خبيث من مستودع Bitbucket غير نشط حاليًا.
– الملف المضغوط BitDefender.zip يحتوي على تنفيذ خبيث باسم StoreInstaller.exe ، والذي يتضمن أكواد مرتبطة بـ Venom RAT إلى جانب أدوات SilentTrinity و StormKitty المستخدمة في عمليات الاستغلال وسرقة البيانات.
– يقوم Venom RAT بجمع بيانات المستخدم وتوفير وصول مستمر للمهاجمين عن بُعد.
ارتباط الهجوم بحملات تصيد أخرى
– أشار الباحثون إلى تداخل البنية التحتية للموقع المزيف مع مواقع احتيالية أخرى تهدف إلى سرقة بيانات تسجيل الدخول للبنوك والشركات التقنية مثل Microsoft و Royal Bank of Canada.
– تعمل البرمجيات الخبيثة بشكل منسق ، حيث يقوم Venom RAT بإصابة الضحية، بينما يسرق StormKitty كلمات المرور ومحافظ العملات الرقمية، ويحافظ SilentTrinity على التحكم السري للنظام.
– تتزامن هذه الهجمات مع حملات تصيد احتيالي مثل تلك التي تستخدم صفحات مزيفة من Google Meet ، حيث يتم خداع المستخدمين لتنفيذ أوامر PowerShell تمنح المخترقين تحكمًا كاملًا في أجهزتهم.
تطور الهجمات السيبرانية
– في هجوم آخر، استغل المهاجمون منصة AppSheet الخاصة بـ Google لنشر حملات تصيد ضد مستخدمي Meta ، عبر رسائل مزيفة من دعم فيسبوك تدّعي أن الحسابات معرضة للحذف وتطلب من الضحية النقر على رابط مزيف لتقديم اعتراض.
– هذه الحملات تستخدم تقنيات متقدمة مثل التحايل على المصادقة الثنائية (2FA) ، مما يسمح للمهاجمين بالوصول الفوري إلى الحسابات وسرقة البيانات.
تظهر هذه الهجمات اتجاهاً متزايدًا نحو استخدام برمجيات مفتوحة المصدر لإنشاء هجمات سيبرانية أكثر تعقيدًا وتكيفًا ، مما يجعل اكتشافها أكثر صعوبة وفعاليتها أعلى في تحقيق أهدافها الاحتيالية.
