كشف باحثون أمنيون عن حملة إلكترونية جديدة تستهدف مستخدمي المتصفحات القائمة على كروميوم (مثل جوجل كروم، مايكروسوفت إيدج، وبرايف) في البرازيل ودول أخرى عبر إضافات متصفح خبيثة مصممة لسرقة بيانات المصادقة البنكية.
تفاصيل الهجوم
-
نقطة البداية: رسائل تصيد احتيالي (Phishing) مُرسلة من خوادم شركات مُخترقة، مما يزيد من مصداقيتها.
-
الطريقة:
-
تحتوي الرسائل على فواتير مزيفة تشجع الضحايا على تنزيل ملف ضار.
-
يُنفَّذ سكريبت Batch ثم PowerShell لفحص البيئة وتثبيت الإضافة الخبيثة.
-
-
الانتشار:
-
نُزِّلَت الإضافة الضارة 722 مرة عبر البرازيل، كولومبيا، المكسيك، روسيا، وفيتنام.
-
استهدفت 70 شركة على الأقل.
-
التكتيكات المتقدمة
-
تعطيل ضوابط الأمان:
-
يُعطِّل السكريبت مراقبة حساب المستخدم (UAC) ويُثبِّت نفسه ليعمل عند إعادة تشغيل الجهاز.
-
-
التحكم عن بُعد:
-
يتصل السكريبت بخادم مهاجمين لتلقي أوامر مثل:
-
تثبيت الإضافة الخبيثة تلقائيًا.
-
عرض رمز QR ضار على صفحات البنوك لخداع الضحايا.
-
-
-
استهداف البنوك البرازيلية:
-
تُنشّط الإضافة عند زيارة موقع Banco do Brasil لسرقة رموز المصادقة وإرسالها إلى المهاجمين.
-
أدوات مساندة وخطورة الهجوم
-
استُخدمت برمجيات مثل MeshCentral Agent وPDQ Connect Agent للوصول عن بُعد إلى الأجهزة المُصابة.
-
وُجِد دليل على استغلال دلائل مفتوحة على خوادم المهاجمين تحتوي على مُعرف EnigmaCyberSecurity، مما يشير إلى محاولات لإخفاء الهجمات.
كيف تحمي نفسك؟
-
تجنب فتح مرفقات أو روابط في رسائل غير معروفة، خاصةً تلك التي تدعي أنها فواتير.
-
افحص إضافات المتصفح المثبتة وأزل أي إضافات مشبوهة
-
استخدم حلول أمان متقدمة لاكتشاف السلوك الضار، خاصةً في المعاملات البنكية.
