حذر مكتب التحقيقات الفيدرالي الأمريكي (FBI) من هجمات هندسة اجتماعية تنفذها مجموعة ابتزاز إلكتروني تُعرف باسم “لونا موث” (Luna Moth)، تستهدف مكاتب المحاماة منذ عامين.
وتظهر هذه الحملة هذه الحملة تظهر تحولًا خطيرًا في هجمات التصيد، حيث يعتمد القراصنة على التلاعب النفسي أكثر من الثغرات التقنية، مما يجعلها أخطر على قطاعات مثل المحاماة والمالية.
آلية الهجوم:
-
تعتمد المجموعة على اتصالات هاتفية زائفة ورسائل تصيد تبدو شرعية، تدعو الضحايا للاتصال برقم دعم فني مزيف متعلق بفواتير أو اشتراكات وهمية.
-
خلال المكالمة، يتم توجيه الضحية لتنزيل برنامج وصول بعيد (مثل AnyDesk أو Zoho Assist)، مما يمنح المخترقين تحكمًا كاملاً في أجهزتهم.
-
بعد الاختراق، تقوم المجموعة بسرقة البيانات الحساسة وإرسال تهديدات بالكشف عنها ما لم يتم دفع فدية.
تطور التكتيكات:
-
منذ مارس 2025، بدأت المجموعة بالاتصال المباشر بالضحايا، متظاهرة بأنها قسم تكنولوجيا المعلومات (IT) التابع لشركتهم.
-
يتم إقناع الضحية بالسماح بالوصول إلى جهازه عبر أدوات شرعية مثل WinSCP أو Rclone، مما يجعل الهجوم صعب الكشف بواسطة أنظمة الحماية.
أدوات مستخدمة في الهجوم:
-
برامج الوصول البعيد: AnyDesk، Zoho Assist، Splashtop.
-
أدوات نقل البيانات: WinSCP (محمول)، Rclone.
-
نطاقات وهمية: تستهدف بوابات الدعم الفني للشركات (مثل vorys-helpdesk[.]com).
نصائح الأمن السيبراني:
-
الحذر من الاتصالات غير المرغوب فيها المزعومة كدعم فني.
-
مراقبة اتصالات WinSCP/Rclone إلى عناوين IP خارجية.
-
التدقيق في رسائل البريد المتعلقة بـ “إلغاء اشتراكات” أو “دفعات معلقة”.
جدير بالذكر أن لونا موث تُعرف أيضًا بأسماء: Chatty Spider، Silent Ransom Group (SRG)، Storm-0252، وهي نشطة منذ 2022، وارتبطت سابقًا بهجمات BazarCall وبرامج الفدية مثل Conti، كما تسجل نطاقات مزيفة عبر GoDaddy لمحاكاة مواقع الدعم الفني للشركات المستهدفة.
