تفاصيل الحملة السيبرانية

إنشاء الموقع المزيف
– اسم الموقع المزيف: postindia[.]site .
– عند زيارة الموقع من أجهزة Windows ، يُطلب من المستخدمين تنزيل مستند PDF يحتوي على تعليمات برمجية ضارة.
– أما عند الدخول عبر أجهزة Android ، يتم تحميل ملف تطبيق ضار يحمل اسم indiapost.apk .

طرق الاستغلال
1. على أجهزة Windows:
– يُوجه المستند المستخدمين لتنفيذ أمر PowerShell باستخدام مفاتيح Win + R ، مما يؤدي إلى احتمالية اختراق النظام.
– أظهرت بيانات EXIF المرتبطة بالمستند أنه تم إنشاؤه في 23 أكتوبر 2024 بواسطة مؤلف يحمل اسم PMYLS ، والذي قد يكون إشارة إلى برنامج باكستان لرئيس الوزراء لتوزيع أجهزة اللابتوب.
– الهدف من الكود هو تنزيل حمولة برمجية ضارة من خادم عن بُعد، الذي يبدو أنه غير نشط حاليًا.

2. على أجهزة Android:
– يُطلب من المستخدمين تثبيت تطبيق لتحسين تجربتهم.
– التطبيق، بعد تثبيته، يطلب أذونات واسعة تشمل الوصول إلى قوائم الاتصال، الموقع الحالي، وملفات التخزين.
– يتم تغيير أيقونة التطبيق لتُشابه أيقونة حسابات جوجل لإخفاء النشاط الضار.

التهديدات الناتجة عن الحملة

خطورة التطبيق الضار
– التطبيق يُجبر المستخدمين على قبول الأذونات إذا رفضوها في المرة الأولى.
– يستمر التطبيق في العمل بالخلفية حتى بعد إعادة تشغيل الجهاز، ويطلب أذونات لتجاهل تحسين البطارية.

*استغلال تكتيكات ClickFix *
– التكتيك يُستخدم بشكل متزايد من قبل مجرمي الإنترنت والمجموعات السيبرانية المتقدمة لاستهداف المستخدمين غير المطلعين وكذلك ذوي المهارات التقنية.

التوصيات الأمنية

1. تحذير المستخدمين:
– تجنب زيارة الروابط غير الموثوقة وتنزيل الملفات أو التطبيقات من مصادر غير موثوقة.

2. تعزيز الأمن السيبراني:
– تثبيت برامج مكافحة البرمجيات الضارة وتحديثها بانتظام.
– التحقق من الأذونات الممنوحة للتطبيقات والتأكد من مصدرها قبل التثبيت.

3. زيادة الوعي بالتصيد الاحتيالي:
– تثقيف المستخدمين حول الطرق التي يمكن أن تستخدمها المجموعات المهاجمة لإيقاعهم في الفخ.