وسطاء الاختراق يستهدفون مدراء البرازيل عبر رسائل NF-e المزيفة ونسخ تجريبية شرعية

وسطاء الاختراق يستهدفون مدراء البرازيل عبر رسائل NF-e المزيفة ونسخ تجريبية شرعية
وسطاء الاختراق يستهدفون مدراء البرازيل عبر رسائل NF-e المزيفة ونسخ تجريبية شرعية
شارك هذا الخبر

حذّر باحثون في الأمن السيبراني من حملة إلكترونية جديدة تستهدف الناطقين بالبرتغالية في البرازيل منذ يناير 2025، عبر استغلال النسخ التجريبية المجانية لبرامج المراقبة والإدارة عن بُعد (RMM).

كيف يعمل الهجوم؟

  1. رسائل تصيد احترافية:

    • تصل الضحايا رسائل بريدية تزعم أنها من مؤسسات مالية أو شركات اتصالات.

    • تحتوي على تحذيرات مزيفة عن فواتير غير مدفوعة أو مدفوعات متأخرة.

    • تستخدم شعارات وشكلاً مشابهًا للرسائل الرسمية لنظام الفواتير الإلكترونية البرازيلي (NF-e).

  2. خداع متطور:

    • تضم الرسائل روابط تبدو شرعية تؤدي إلى ملفات مخزنة على Dropbox.

    • هذه الملفات تحتوي على برامج RMM شرعية مثل:

      • N-able RMM Remote Access

      • PDQ Connect

    • بمجرد التثبيت، تمنح هذه البرامج المهاجمين صلاحيات كاملة للتحكم في الأنظمة.

  3. تصعيد الهجوم:

    • في بعض الحالات، يستغل المهاجمون هذه الأدوات لتحميل برامج أخرى خبيثة مثل ScreenConnect.

    • يتم التركيز على استهداف:

      • كبار المدراء التنفيذيين (C-level executives)

      • أقسام المالية والموارد البشرية

      • مؤسسات تعليمية وحكومية

خلفية الهجوم: وسطاء الاختراق (IABs)

  • يعمل المهاجمون كـ وسطاء يبيعون الوصول الأولي لأنظمة الضحايا لمجموعات اختراق أخرى.

  • يستغلون الفترات التجريبية المجانية لبرامج RMM، والتي توفر:

    • توقيعات رقمية شرعية (تجاوز أنظمة الحماية)

    • وظائف متكاملة (مثل نقل الملفات، التحكم الكامل)

    • بنية تحتية مجانية (لا حاجة لخوادم مهاجمين)

  • قامت شركة N-able بتعطيل الحسابات التجريبية المسيئة.

تحذيرات أمنية موسعة: موجات تصيد متطورة

إلى جانب هذه الحملة، رصد الخبراء عدة أساليب جديدة لاختراق الأنظمة:

1. هجمات برمجيات خبيثة مصرفية

  • مجموعة Hive0148 تستخدم Grandoreiro لاستهداف عملاء البنوك في المكسيك وكوستاريكا.

2. استغلال خدمات مشروعة

  • منصة GetShared لمشاركة الملفات تُستخدم لنشر برامج ضارة.

  • تطبيق Milanote لتدوين الملاحظات يُستغل مع أدوات Tycoon 2FA لسرقة بيانات الاعتماد.

3. ثغرات قديمة مستغلة

  • مستندات وورد تحتوي على Formbook تستغل ثغرة CVE-2017-11882 (عمرها 8 سنوات!).

4. أساليب تقنية متقدمة

  • ملفات SVG تحتوي على أكواد جافا سكريبت خبيثة.

  • روابط ديناميكية داخل ملفات OneDrive أو PDF.

  • استغلال ميزة TryCloudflare لنشر برامج مثل AsyncRAT.

“المهاجمون يطورون تكتيكاتهم باستمرار، مما يجعل كشف محاولات التصيد أكثر صعوبة حتى مع أدوات الأمن المتطورة” — يوفال غوري، باحث في Intezer

كيف تحمي مؤسستك؟

✅ تدريب الموظفين على التعرف على رسائل التصيد (خاصةً ذات الطابع المالي).
✅ تعطيل البرامج غير الضرورية مثل أدوات RMM غير المعتمدة.
✅ تحديث الأنظمة لإصلاح الثغرات القديمة (مثل CVE-2017-11882).
✅ مراقبة النشاط غير المعتاد على الشبكة، خاصة الاتصالات مع خدمات مثل Dropbox أو Cloudflare.

وسوم
محمد وهبى
محمد وهبى
المقالات: 203

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


انتهت فترة التحقق من reCAPTCHA. يُرجى إعادة تحميل الصفحة.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة