‘ما يبدأ كاتصال هاتفي من “دعم تكنولوجيا المعلومات” ينتهي بخرق شبكة مزودة بجميع الأدوات’: هذه الخدعة المزيفة لدعم التكنولوجيا تخدع الموظفين لإصابة أجهزة شركتهم بأنفسهم.

• المهاجمون يعتمدون الآن على الموظفين لإطلاق البرمجيات الخبيثة دون علمهم
• مكالمات الدعم الفني المزيفة تحول تصحيح الأعطال الروتينية إلى اختراق كامل للشبكة
• تعطل المتصفحات يصبح الخطوة الأولى في هجمات الهندسة الاجتماعية المدروسة بعناية

تستمر أنشطة أوكار الويب الجريمة الإلكترونية في الانتقال من الاستغلال المباشر للبرامج إلى التلاعب بسلوكيات المستخدمين اليومية داخل البيئات المؤسسية، وفقاً لما حذر منه الخبراء.

تصف أبحاث جديدة من هانتريس حملة حيث يقوم المهاجمون بتعطيل متصفح المستخدم عمداً وعرض رسائل أمان مقلقة تشجع على “الإصلاح”.

تخلق هذه الحيلة شعورًا زائفًا بالعجلة بينما تسمح للمهاجمين ببدء التواصل المباشر مع الموظف.

المهاجمون يستفيدون من ارتباك الموظفين

في العديد من الحالات التي تم ملاحظتها، تلقى الضحايا مكالمات هاتفية من أفراد يدعون أنهم موظفون فنيون داخليون مسؤولون عن حل المشكلة، مما يمنح المهاجم مصداقية ويخلق ضغطاً على الموظف للتعاون مع تعليمات تبدو روتينية.

تبدأ السلسلة بأكملها مع رسائل البريد العشوائي التي تغمر صندوق بريد المستخدم. بعد وقت قصير، تصل مكالمة هاتفية من شخص يدعي تمثيل “دعم تكنولوجيا المعلومات”، الذي يقول إن الرسائل غير المرغوب فيها أو عطل المتصفح يتطلب صيانة فورية على الكمبيوتر المصاب.

تنجح الخداع لأن الضحايا يتم إقناعهم بتنفيذ الإجراءات التي تؤدي إلى الاختراق بأنفسهم.

شرح الباحثون أن المهاجمين يعتمدون على تفاعل المستخدم اليدوي بدلاً من تسليم البرمجيات الخبيثة الأوتوماتيكية، حيث يتم إرشاد الضحايا خلال خطوات مثل الموافقة على جلسات الوصول عن بُعد أو تثبيت أدوات الإدارة عن بُعد مثل AnyDesk.

في حالات أخرى، يتم توجيه المستخدمين لنسخ ولصق الأوامر في مطالب النظام أو تنفيذ نصوص مخفية كإصلاحات تشخيصية.

يفتح المهاجمون متصفحاً خلال الجلسات عن بُعد ويوجهون الضحايا إلى واجهة مزيفة مستضافة على البنية التحتية السحابية تحمل طابع مايكروسوفت.

تم توجيه الضحايا لتسجيل الدخول إلى “لوحة التحكم لمكافحة البريد العشوائي في Outlook” المزيفة وتنزيل ما وصف بأنه “تصحيح مكافحة البريد العشوائي”، ولكنه في الواقع ملف أرشيف مخفي يحتوي على عدة مكونات مصممة لبدء المرحلة التالية من الهجوم.

بمجرد تنفيذ ما يسمى بملفات الإصلاح، أعادت السلسلة الخبيثة بناء نفسها محلياً باستخدام حمولات مرتبة، مستخرجاً ملفات تشبه مكونات البرمجيات الشرعية، بما في ذلك مكتبات التشغيل وصناديق التنفيذ.

تقوم إحدى الملفات الثنائية المسماة ADNotificationManager.exe بتحفيز المرحلة التالية من الاختراق بعد التثبيت.

في هذه المرحلة، يعتمد المهاجمون بشكل كبير على تقنية تُعرف باسم تحميل DLL الجانبي لتشغيل الشيفرة الخبيثة بينما تواصل التطبيقات الشرعية العمل بشكل طبيعي.

تم وضع المكتبات الديناميكية الخبيثة بجانب الملفات الشرعية، مما سمح للـبرمجيات خبيثة العمل دون أن تثير الإنذارات الواضحة داخل النظام على الفور.

في النهاية، تم نشر حمولات معدلة مشتقة من إطار العمل مفتوح المصدر لقيادة الأوامر والتحكم Havoc C2.

و”ما كان ينتهي سابقاً بشراء بطاقة هدايا بقيمة 300 دولار، ينتهي الآن بإطار العمل المعدل Havoc C2 مدفونا في بيئتك.”

النشاط سريع، في حالة واحدة، توسع المتسلل من الكمبيوتر المصاب الأولي إلى تسعة نقاط نهاية إضافية في حوالي إحدى عشر ساعة.

تشير مثل هذه الأنشطة السريعة إلى التحكم المباشر للمشغل بدلاً من انتشار البرمجيات الخبيثة الأوتوماتيكية من خلال الثغرات الأمنية.

استخدم المهاجم أدوات الإدارة عن بُعد وحمولات مسننة للحفاظ على الاستمرارية أثناء التنقل عبر الأنظمة المتصلة.

يحذر الباحثون من أن الحملة تكرر كيف يعتمد المهاجمون بشكل متزايد على التفاعل الاجتماعي بدلاً من العيوب التقنية لتجاوز دفاعات جدران الحماية.

تابعوا TechRadar على أخبار جوجل و أضفونا كمصدر مفضل للحصول على آخر الأخبار والتقييمات والآراء من خبرائنا في خلاصاتكم. تأكد من الضغط على زر المتابعة!

وبالطبع يمكنك أيضاً متابعة TechRadar على TikTok للحصول على أخبار وتقييمات وفتح صناديق بصورة فيديو، والحصول على تحديثات منتظمة منا عبر واتساب أيضاً.