وأوضحت الشركة أن المهاجمين يستخدمون في هذه الأنشطة تقنيات الهندسة الاجتماعية المتقدمة، وذلك عن طريق اعتراضهم لمراسلات العمل، ثم يعيدون توجيه ملفات مرفقة ضارة بنسق (بي دي إف) PDF إلى سلاسل البريد الإلكتروني نفسها.
%20(6).webp "تقرير كاسبرسكي: ارتفاع خطير في انتشار برمجيات Qbot الخبيثة وتهديداتها الأمنية")
ومنذ 4 نيسان/ أبريل الجاري، استُلم ما يزيد عن 5,000 رسالة إلكترونية تحتوي على مرفقات PDF في دول مختلفة، ولا تزال هذه الحملة مستمرة حتى الآن. وأجرى باحثو كاسبرسكي تحليلًا تقنيًا للحملة ذاتها.
وتجدر الإشارة في هذا الصدد إلى أن برمجيات Qbot الضارة تنتمي إلى فئة التروجنات (أحصنة طروادة) السيئة السمعة التي تستهدف المصارف، وتعمل كجزء من شبكة البوتات.
وتستطيع البرامج الاستيلاء على البيانات، ومن ذلك: كلمات المرور، ومراسلات العمل. وتتيح للجهات القائمة على الهجمات السيبرانية التحكم في النظام المصاب، وتثبيت برامج الفدية أو التروجنات الأخرى على المزيد من الأجهزة ضمن الشبكة ذاتها.
ويستخدم مشغلو البرامج الضارة خطط توزيع متنوعة، مثل: نشر رسائل للبريد الإلكتروني تحتوي على مرفقات ضارة بنسق PDF، علمًا أنه لم تُلاحظ على نحو واسع النطاق في إطار هذه الحملة من قبل.
 |
| نموذج لرسالة بريد إلكتروني أعيد توجيهها مع ملف مرفق خبيث بنسق PDF. وتمكنت رسالة المهاجم من تجاوز الخط |
ولاحظت كاسبرسكي ارتفاعًا في نشاط حملة البريد الإلكتروني العشوائي باستخدام هذه البرامج المحددة مع ملفات مرفقة بنسق PDF. وبدأت الموجة مساء يوم الرابع من نيسان/ أبريل 2023، وتمكّن الخبراء منذ ذلك الحين من اكتشاف ما يزيد عن 5,000 رسالة إلكترونية عشوائية تحتوي على ملفات PDF، وتنشر هذه البرامج الضارة باللغات الإنجليزية، والألمانية، والإيطالية، والفرنسية.
وتُوَزَّع البرامج الضارة من خلال مراسلات العمل للضحية المحتملة التي استولى عليها المجرمون السيبرانيون. ومن ثم يرسل هؤلاء بريدًا إلكترونيًا إلى المشاركين في سلسلة الرسائل جميعهم، وفي العادة يطلبون منهم فتح ملف PDF المرفق الضار في ظل ظروف مختلفة لا تبدو مثيرة للشك. فعلى سبيل المثال، قد يطلب المهاجمون مشاركة الوثائق المتعلقة بالملف المرفق جميعها، أو حساب مبلغ العقد وفق التكاليف المقدرة في الملف ذاته.
وقالت (داريا إيفانوفا)، خبيرة تحليل البرامج الضارة في كاسبرسكي: «إننا نوصي الشركات دائمًا بالحفاظ على أعلى درجات اليقظة، ذلك أن برمجيات Qbot تُعدّ ضارة جدًا، مع أن وظائفها الأساسية لم تتغير على مدار العامين الماضيين. وفي الوقت ذاته، يعمل المهاجمون باستمرار على تحسين تقنياتهم، وإضافة المزيد من العناصر الجديدة التي تبدو مقنعة للضحايا في طرق الهندسة الاجتماعية، الأمر الذي يزيد من احتمالية وقوع الموظفين ضحايا لهذه الحيلة الخادعة. وللحفاظ على أعلى درجة من الأمان، ينبغي التحقق بعناية من العديد من العلامات الحمراء، مثل تهجئة عنوان البريد الإلكتروني للمرسل، والمرفقات الغريبة، والأخطاء النحوية. ويمكن أن تساعد حلول الأمن السيبراني المتخصصة في ضمان أمن رسائل البريد الإلكتروني التي تستقبلها الشركات».
ويحاكي محتوى ملف PDF شعار (مايكروسوفت أوفيس 365) Microsoft Office 365 أو (مايكروسوفت أزور) Microsoft Azure. وإذا نقر المستخدم على خيار «فتح»، يُنزَّل الأرشيف الضار إلى جهاز الحاسوب من خادم بعيد، مثل: موقع ويب مُخترق.
وأجرى خبراء كاسبرسكي تحليلًا تقنيًا مفصلًا لهذه العملية، ويمكن الاطلاع عليه في Securelist.
ولحماية الشركات من التهديدات ذات الصلة، يوصي خبراء كاسبرسكي بما يلي:
وتُوَزَّع البرامج الضارة من خلال مراسلات العمل للضحية المحتملة التي استولى عليها المجرمون السيبرانيون. ومن ثم يرسل هؤلاء بريدًا إلكترونيًا إلى المشاركين في سلسلة الرسائل جميعهم، وفي العادة يطلبون منهم فتح ملف PDF المرفق الضار في ظل ظروف مختلفة لا تبدو مثيرة للشك. فعلى سبيل المثال، قد يطلب المهاجمون مشاركة الوثائق المتعلقة بالملف المرفق جميعها، أو حساب مبلغ العقد وفق التكاليف المقدرة في الملف ذاته.
وقالت (داريا إيفانوفا)، خبيرة تحليل البرامج الضارة في كاسبرسكي: «إننا نوصي الشركات دائمًا بالحفاظ على أعلى درجات اليقظة، ذلك أن برمجيات Qbot تُعدّ ضارة جدًا، مع أن وظائفها الأساسية لم تتغير على مدار العامين الماضيين. وفي الوقت ذاته، يعمل المهاجمون باستمرار على تحسين تقنياتهم، وإضافة المزيد من العناصر الجديدة التي تبدو مقنعة للضحايا في طرق الهندسة الاجتماعية، الأمر الذي يزيد من احتمالية وقوع الموظفين ضحايا لهذه الحيلة الخادعة. وللحفاظ على أعلى درجة من الأمان، ينبغي التحقق بعناية من العديد من العلامات الحمراء، مثل تهجئة عنوان البريد الإلكتروني للمرسل، والمرفقات الغريبة، والأخطاء النحوية. ويمكن أن تساعد حلول الأمن السيبراني المتخصصة في ضمان أمن رسائل البريد الإلكتروني التي تستقبلها الشركات».
ويحاكي محتوى ملف PDF شعار (مايكروسوفت أوفيس 365) Microsoft Office 365 أو (مايكروسوفت أزور) Microsoft Azure. وإذا نقر المستخدم على خيار «فتح»، يُنزَّل الأرشيف الضار إلى جهاز الحاسوب من خادم بعيد، مثل: موقع ويب مُخترق.
وأجرى خبراء كاسبرسكي تحليلًا تقنيًا مفصلًا لهذه العملية، ويمكن الاطلاع عليه في Securelist.
ولحماية الشركات من التهديدات ذات الصلة، يوصي خبراء كاسبرسكي بما يلي:
- التحقق من عنوان المرسل. تأتي معظم الرسائل غير المرغوب فيها من عناوين بريدية لا معنى لها، أو تبدو غير واقعية. ومن خلال تمرير المؤشر فوق اسم المرسل، الذي قد يحمل تهجئة غريبة، يمكنك رؤية عنوان البريد الإلكتروني بالكامل. وإذا لم تكن متأكدًا بشأن كون عنوان البريد الإلكتروني شرعيًا أو خلاف ذلك، يمكنك نسخه في خانة محرك البحث للتحقق منه.
- الحذر من الرسائل المُلحَّة. غالبًا ما يحاول المهاجمون الذين ينشرون الرسائل غير المرغوب فيها ممارسة الضغط من خلال الإيحاء بالإلحاح. فعلى سبيل المثال، قد يحتوي سطر الموضوع على كلمات، مثل: «عاجل» أو «مطلوب اتخاذ إجراء فوري»، كوسيلة للضغط عليك للاستجابة.
- توفير التدريب الأساسي للموظفين على التصرفات الذكية في مجال الأمن السيبراني، وإجراء محاكاة لهجمات التصيد، لاطلاعهم على كيفية التمييز بين رسائل البريد الإلكتروني المخادعة والرسائل الأصلية.
- استخدام أحد حلول حماية نقاط النهاية وخوادم البريد، مع إمكانات مكافحة التصيد الاحتيالي، مثل: Kaspersky Endpoint Security for Business، لتقليل فرصة الإصابة بهجمات التصيد الاحتيالي.
- تثبيت أحد حلول الأمان الموثوق بها، مثل: Kaspersky Secure Mail Gateway الذي يعمل تلقائيًا على تنقية الرسائل غير المرغوب فيها.
