كشفت شركة الأمن السيبراني CYFIRMA عن حملة سيبرانية متطورة نسبت إلى مجموعة التهديد المستمر المتقدم APT36 ، المعروفة أيضًا باسم Transparent Tribe . الحملة تضمنت إنشاء موقع مزيف يُحاكي نظام البريد الهندي India Post ، بهدف إصابة مستخدمي أنظمة تشغيل Windows و Android بالبرمجيات الخبيثة.
تفاصيل الحملة السيبرانية
إنشاء الموقع المزيف
– اسم الموقع المزيف: postindia[.]site .
– عند زيارة الموقع من أجهزة Windows ، يُطلب من المستخدمين تنزيل مستند PDF يحتوي على تعليمات برمجية ضارة.
– أما عند الدخول عبر أجهزة Android ، يتم تحميل ملف تطبيق ضار يحمل اسم indiapost.apk .
طرق الاستغلال
1. على أجهزة Windows:
– يُوجه المستند المستخدمين لتنفيذ أمر PowerShell باستخدام مفاتيح Win + R ، مما يؤدي إلى احتمالية اختراق النظام.
– أظهرت بيانات EXIF المرتبطة بالمستند أنه تم إنشاؤه في 23 أكتوبر 2024 بواسطة مؤلف يحمل اسم PMYLS ، والذي قد يكون إشارة إلى برنامج باكستان لرئيس الوزراء لتوزيع أجهزة اللابتوب.
– الهدف من الكود هو تنزيل حمولة برمجية ضارة من خادم عن بُعد، الذي يبدو أنه غير نشط حاليًا.
2. على أجهزة Android:
– يُطلب من المستخدمين تثبيت تطبيق لتحسين تجربتهم.
– التطبيق، بعد تثبيته، يطلب أذونات واسعة تشمل الوصول إلى قوائم الاتصال، الموقع الحالي، وملفات التخزين.
– يتم تغيير أيقونة التطبيق لتُشابه أيقونة حسابات جوجل لإخفاء النشاط الضار.
التهديدات الناتجة عن الحملة
خطورة التطبيق الضار
– التطبيق يُجبر المستخدمين على قبول الأذونات إذا رفضوها في المرة الأولى.
– يستمر التطبيق في العمل بالخلفية حتى بعد إعادة تشغيل الجهاز، ويطلب أذونات لتجاهل تحسين البطارية.
*استغلال تكتيكات ClickFix *
– التكتيك يُستخدم بشكل متزايد من قبل مجرمي الإنترنت والمجموعات السيبرانية المتقدمة لاستهداف المستخدمين غير المطلعين وكذلك ذوي المهارات التقنية.
التوصيات الأمنية
1. تحذير المستخدمين:
– تجنب زيارة الروابط غير الموثوقة وتنزيل الملفات أو التطبيقات من مصادر غير موثوقة.
2. تعزيز الأمن السيبراني:
– تثبيت برامج مكافحة البرمجيات الضارة وتحديثها بانتظام.
– التحقق من الأذونات الممنوحة للتطبيقات والتأكد من مصدرها قبل التثبيت.
3. زيادة الوعي بالتصيد الاحتيالي:
– تثقيف المستخدمين حول الطرق التي يمكن أن تستخدمها المجموعات المهاجمة لإيقاعهم في الفخ.
