- يستخدم المتسللون Google Chrome وMicrosoft Word وOneDrive المزيفين لتثبيت الحمولات عبر الأجهزة.
- يتم استخدام هذه الخدعة من قبل العديد من جهات التهديد التي ترسل رسائل خطأ مزيفة عبر هذه التطبيقات وتخدع المستخدمين لتنزيل البرامج الضارة.
- أسوأ ما في الأمر هو أن Windows لا يزال غير قادر على اكتشاف هذه الهجمات أو منعها. إذن حتى ذلك الحين يبقى الخطر قائما.
يبتكر المتسللون في جميع أنحاء العالم باستمرار طرقًا جديدة لخداع المستخدمين، وقد فعلوا ذلك هذه المرة أنشأ Google Chrome وMicrosoft Word وOneDrive مزيفين. أسوأ ما في الأمر هو أن هذه ليست عملية واحدة، فقد تم العثور على جهات تهديد متعددة باستخدام هذه الخدعة.
- على سبيل المثال، TA571، جهة التهديد المعروفة بإرسالها رسائل البريد الإلكتروني المجمعة لخداع المستخدمين لتنزيل البرامج الضارة، تم العثور عليه باستخدام هذه الطريقة.
- وبالمثل، تبين أيضًا أن الجهات الفاعلة التي تقف وراء ClearFake ومجموعة هجمات جديدة تسمى ClickFix هي جزء من هذه العملية الضارة.
كيف تعمل بالضبط؟
وفقا ل تقرير من Proofpointوالحمولات المستخدمة في هذه الهجمات هي NetSupport، وMatanbuchus، وAmadey Loader، وDarkGate، وXMRig، وخاطف الحافظة، وLumma Stealer.
الآن نتحدث عن المنهجية، هناك ثلاث طرق يتم بها تنفيذ هذه الهجمات.
الطريقة رقم 1 – حملة ClickFix
الحالة الأولى مرتبطة بحملة “ClickFix”.
- وهنا الجهات الفاعلة التهديد إرسال رسالة خطأ للمستخدمين عبر البريد الإلكتروني أو كتراكبات لمواقع الويب ثم إقناعهم بتنزيل آخر تحديث للمتصفح الخاص بهم.
- ومع ذلك، الرابط يؤدي إلى تحديثات وهمية والتي يتم استخدامها بعد ذلك لتثبيت البرامج الضارة على جهاز المستخدم.
في بعض الحالات، يُطلب من المستخدمين أيضًا فتح “Windows PowerShell (Admin)” ولصق رمز معين يقدمونه. والنتيجة النهائية هي نفسها هنا أيضًا.
الطريقة رقم 2 – شهادة الجذر
وفي الحالة الثانية، أرسل المتسللون تحذيرًا للمستخدمين، قائلين إن هناك بعض الأشياء مشكلة في عرض صفحة الويب وكانوا بحاجة إلى تثبيت “شهادة الجذر”.
للقيام بذلك، كان المستخدمون موجه لنسخ برنامج PowerShell النصي إلى حافظة Windows وتشغيله في وحدة تحكم مسؤول Windows. سيعرض هذا البرنامج النصي بعد ذلك رسائل مزيفة أثناء صمته تنزيل البرامج الضارة على الجهاز الذي من شأنه سرقة معلوماتهم.
الطريقة رقم 3 – بريد إلكتروني مزيف
وفي الطريقة الثالثة، ترسل الجهات التهديدية رسائل البريد الإلكتروني التي تبدو وكأنها مستند Microsoft Word يطالب المستخدمين ويطلب منهم تنزيل شيء يسمى “Word Online” – وهو امتداد من شأنه أن يساعد المستخدمين على ما يبدو على عرض مستنداتهم بشكل صحيح.
تحتوي رسالة الخطأ أيضًا على خيارات مثل “كيفية الإصلاح” و”الإصلاح التلقائي” التي تحتوي على أوامر معينة يمكنها على ما يبدو إصلاح الأخطاء (أيًا كان الخطأ الذي تم عرضه للمستخدم)، إذا تم لصقها في PowerShell. ولكن في الواقع، فإن القيام بذلك سوف يحدث فتح النظام الخاص بك للبرامج الضارة.
ما مدى فعالية هذه الحيل؟
أكبر مشكلة في هذه الحيل هي أن Windows لا يزال موجودًا غير قادر على اكتشافها وحظرها. لذا، حتى ذلك الحين، سيكون المستخدمون عرضة للخطر باستمرار.
أيضا، على الرغم من أساليب الهجوم تتطلب قدرا كبيرا من الهندسة الاجتماعية، ويتم ذلك بذكاء شديد لدرجة أن المستخدمين يعتقدون بالفعل أن هناك خطأ ما في نظامهم يحتاج إلى الإصلاح. لذلك، بعبارات بسيطة، فهي فعالة جدًا.
عملية التحرير لدينا
تقرير التقنية السياسة التحريرية يتمحور حول توفير محتوى مفيد ودقيق يقدم قيمة حقيقية لقرائنا. نحن نعمل فقط مع الكتاب ذوي الخبرة الذين لديهم معرفة محددة في المواضيع التي يغطونها، بما في ذلك أحدث التطورات في التكنولوجيا، والخصوصية عبر الإنترنت، والعملات المشفرة، والبرمجيات، وأكثر من ذلك. تضمن سياستنا التحريرية أن يتم بحث كل موضوع وتنظيمه من قبل المحررين الداخليين لدينا. نحن نحافظ على معايير صحفية صارمة، وكل مقال مكتوب بنسبة 100% المؤلفين الحقيقيين.