كشف باحثون في الأمن السيبراني عن حملة تصيّد إلكتروني تستهدف المستخدمين في الهند عبر رسائل بريدية مزيفة تحمل هوية مصلحة الضرائب الهندية. هذه الرسائل تخدع الضحايا لتحميل أرشيف خبيث يمنح المهاجمين وصولاً دائماً إلى الأجهزة، بما يتيح لهم مراقبة الأنشطة وسرقة البيانات الحساسة بشكل مستمر.
الهدف النهائي للحملة هو نشر نسخة معدلة من حصان طروادة المصرفي المعروف Blackmoon (KRBanker) إلى جانب أداة تجارية شرعية تدعى SyncFuture TSM، وهي منصة صينية لإدارة الأمن الطرفي أعيد توظيفها كإطار تجسسي شامل.
مراحل الهجوم وأساليب التمويه
الأرشيف الموزع عبر إشعارات ضريبية مزيفة يحتوي على خمسة ملفات مخفية، أبرزها ملف تنفيذي باسم Inspection Document Review.exe يستخدم تقنية DLL sideloading لتشغيل مكتبة خبيثة. هذه المكتبة تتصل بخادم خارجي لجلب حمولة إضافية، وتنفذ آليات للتحايل على أدوات التحليل.
البرمجية الخبيثة تستعين بتقنية COM-based UAC bypass للحصول على صلاحيات إدارية، كما تعدّل بيئة العملية لتتخفى في صورة عملية explorer.exe الشرعية. لاحقاً، يتم تنزيل ملف إضافي من نطاق صيني (eaxwwyr.cn) يتكيف مع وجود برنامج Avast Free Antivirus، حيث يستخدم محاكاة حركة الفأرة لإضافة الملفات الخبيثة إلى قائمة الاستثناءات دون تعطيل المحرك الأمني.
استغلال أدوات شرعية لتعزيز السيطرة
من بين الملفات التي يتم تثبيتها أداة باسم Setup.exe، والتي تكتب ملفاً آخر باسم mysetup.exe على القرص، وهو نسخة من أداة SyncFuture TSM التجارية. هذه الأداة تمنح المهاجمين قدرات واسعة في المراقبة والتحكم عن بُعد، بما يشمل تسجيل الأنشطة وسرقة البيانات وإدارة الأجهزة المصابة مركزياً.
كما يتم نشر سكربتات دفعية (Batch Scripts) لإنشاء مجلدات مخصصة وتعديل صلاحيات الوصول، إضافة إلى سكربتات أخرى للتلاعب بأذونات مجلدات سطح المكتب وتنفيذ عمليات تنظيف واستعادة. ملف آخر باسم MANC.exe يتولى تنسيق الخدمات وتفعيل تسجيل موسع للأنشطة.
دلالات الحملة وأبعادها الأمنية
بحسب وحدة الاستجابة للتهديدات في eSentire، فإن هذه الحملة تمثل مثالاً متقدماً على المزج بين تقنيات متعددة: التحايل على التحليل، التصعيد في الصلاحيات، تحميل مكتبات خبيثة، إعادة توظيف أدوات تجارية، وتجاوز برامج الحماية. هذا الدمج يعكس قدرة المهاجمين على تطوير هجمات معقدة تستهدف بيئات حساسة، ويؤكد أن الهدف يتجاوز مجرد سرقة بيانات مالية ليشمل بناء منظومة تجسس طويلة الأمد.
البرمجية Blackmoon ليست جديدة، إذ ظهرت لأول مرة عام 2015 واستهدفت شركات في كوريا الجنوبية والولايات المتحدة وكندا، لكن دمجها مع أدوات شرعية مثل SyncFuture TSM يرفع مستوى خطورتها ويمنحها مرونة أكبر في السيطرة على الأجهزة المصابة.
