الصفحة الرئيسية

حملة طروادة المصرفية الجديدة من QBot تخطف رسائل البريد الإلكتروني التجارية لنشر البرامج الضارة

 

كشفت نتائج جديدة من Kaspersky أن حملة جديدة للبرامج الضارة من QBot تستفيد من المراسلات التجارية المختطفة لخداع الضحايا غير المرتابين لتثبيت البرامج الضارة.

استهدف النشاط الأخير ، الذي بدأ في 4 أبريل 2023 ، المستخدمين بشكل أساسي في ألمانيا والأرجنتين وإيطاليا والجزائر وإسبانيا والولايات المتحدة وروسيا وفرنسا والمملكة المتحدة والمغرب.

QBot (المعروف أيضًا باسم Qakbot أو Pinkslipbot) هو حصان طروادة مصرفي معروف بأنه نشط منذ عام 2007 على الأقل. بالإضافة إلى سرقة كلمات المرور وملفات تعريف الارتباط من متصفحات الويب ، فإنه يتضاعف باعتباره بابًا خلفيًا لحقن حمولات المرحلة التالية مثل Cobalt Strike أو ransomware.

تم توزيع البرامج الضارة عبر حملات التصيد الاحتيالي ، وقد شهدت تحديثات مستمرة خلال عمرها الافتراضي والتي تحتوي على تقنيات مكافحة VM ، ومكافحة تصحيح الأخطاء ، ومكافحة الحماية لتفادي الاكتشاف. لقد برز أيضًا باعتباره أكثر البرامج الضارة انتشارًا لشهر مارس 2023 ، لكل نقطة تحقق.

قال باحثو كاسبرسكي ، موضحين طرق توزيع QBot : "في وقت مبكر ، تم توزيعه من خلال مواقع الويب المصابة والبرامج المقرصنة" . "الآن يتم تسليم المصرفي للضحايا المحتملين من خلال البرامج الضارة الموجودة بالفعل على أجهزة الكمبيوتر الخاصة بهم ، والهندسة الاجتماعية ، والبريد العشوائي."

هجمات خطف مؤشر ترابط البريد الإلكتروني ليست جديدة . يحدث ذلك عندما يقوم مجرمو الإنترنت بإدخال أنفسهم في محادثات الأعمال الحالية أو بدء محادثات جديدة بناءً على المعلومات التي تم الحصول عليها مسبقًا من خلال حسابات البريد الإلكتروني المخترقة.

الهدف هو إغراء الضحايا بفتح روابط ضارة أو مرفقات ضارة ، وفي هذه الحالة ، ملف PDF مرفق يتنكر في شكل تنبيه Microsoft Office 365 أو Microsoft Azure.

يؤدي فتح المستند إلى استرداد ملف أرشيف من موقع ويب مصاب والذي يحتوي بدوره على ملف Windows Script (.WSF) مبهم. يشتمل البرنامج النصي ، من جانبه ، على برنامج PowerShell النصي الذي يقوم بتنزيل DLL الضار من خادم بعيد. DLL الذي تم تنزيله هو برنامج QBot الضار.

تأتي النتائج في الوقت الذي كشفت فيه Elastic Security Labs عن حملة هندسة اجتماعية متعددة المراحل تستخدم مستندات Microsoft Word مُسلَّحة لتوزيع Agent Tesla و XWorm عن طريق أداة تحميل مخصصة تعتمد على .NET.

author-img

Almoktachif Computer Technologie

تعليقات
ليست هناك تعليقات
إرسال تعليق
    الاسمبريد إلكترونيرسالة