يستخدم المهاجمون تقنيات تهريب HTML لإخفاء الملفات الضارة في فرص العمل الوهمية
تستفيد حملة الجرائم الإلكترونية التي تستهدف القطاع المصرفي الأفريقي من رسائل البريد الإلكتروني المخادعة وتقنيات تهريب HTML لنشر البرامج الضارة.
تم الإبلاغ عن سلسلة من الهجمات في جميع أنحاء غرب إفريقيا ، حيث تظاهر المهاجمون بأنهم أرباب عمل محتملين لإغراء الضحايا لتنزيل ملفات ضارة.
لاحظ باحثون من HP Wolf Security ، الذين كانوا يتتبعون الحملة ، أنهم اكتشفوا الهجمات لأول مرة في "أوائل عام 2022" ، عندما تلقى موظف في بنك في غرب إفريقيا لم يذكر اسمه بريدًا إلكترونيًا يزعم أنه من جهة توظيف في بنك أفريقي آخر به معلومات حول فرص العمل.
حملة تهريب
احتوت رسائل البريد الإلكتروني على ملفات HTML ، والتي ، في حالة فتحها ، تطالب المستخدم بتنزيل ملف ISO ، والذي يحتوي بدوره على برنامج Visual Basic الذي ينفذ برامج ضارة .
هذه التقنية ، التي تسمى تهريب HTML ، تمكن المهاجمين من تهريب الملفات الضارة عبر أمان بوابة البريد الإلكتروني.
اكتشف باحثون من HP Wolf Security أن المهاجمين كانوا يستخدمون أداة تنزيل تسمى GuLoader ، والتي يتم تنفيذها باستخدام PowerShell عبر رمز مخزن في السجل ولا يتم تشغيله إلا في الذاكرة.
أشار الباحثون في منشور بالمدونة إلى أن "اكتشاف مثل هذه السلسلة من العدوى ليس بالأمر السهل ، حيث إن البرامج الضارة موجودة فقط في الذاكرة والسجل" .
في حديثه إلى The Daily Swig ، قال باتريك شليبفر ، محلل البرامج الضارة في HP Wolf Security ، إنه على الرغم من أن فريق البحث ليس لديه نظرة ثاقبة حول سبب استهداف إفريقيا على وجه الخصوص ، تقدم المؤسسات المالية عمومًا "درجة عالية من الفرص لمجرمي الإنترنت لتحقيق الدخل من الوصول وسرقت البيانات إذا نجحت في اختراق شبكة البنك ".
وأضاف شلبفر: "في هذه الحملة ، استخدم المهاجمون مزيجًا من تقنيات الهجوم. نود أن نوصي الشركات بمراقبة إساءة استخدام العلامة التجارية ، أي مواقع الويب المكسوة بالأخطاء المطبعية التي تنتحل صفة علامتها التجارية.
"إذا تم العثور على هذه ، يجب إبلاغ موفر الاستضافة ومسجل المجال في أقرب وقت ممكن.
علاوة على ذلك ، يجب على المؤسسات أيضًا التأكد من أن لديها رؤية عبر شبكتها لعزل أو حظر سلوك العمليات الضارة. تنطبق هذه التوصيات على جميع المنظمات ، وليس فقط على القطاع المصرفي في إفريقيا ".
وأشار الباحث أيضًا إلى أنه في حين أن تقنيات مثل رسائل البريد الإلكتروني الاحتيالية ليست بالضرورة معقدة ، فإن "مثل هذه الهجمات لا تزال تؤدي إلى حدوث إصابات".
وأضاف شلبفر: "في هذه الحملة ، بذل المهاجمون جهدًا غير عادي في إنشاء مواقع ويب مزيفة لزيادة مصداقية رسائل البريد الإلكتروني الخاصة بهم وبالتالي فرص الإصابة.
"تبرز تقنية تهريب HTML أيضًا لأنه ليس من السهل اكتشافها وبالتالي تشق طريقها غالبًا عبر بوابة البريد الإلكتروني للمستخدمين".
0 تعليقات