بحسب باحثين في شركة الأمن السيبراني Zscaler، يستخدم المهاجمون أساليب الهندسة الاجتماعية واستغلال ميزات المتصفح المشروعة لاختراق ضحاياهم. ويتم الوصول المبدئي عن طريق انتحال صفة موظفي الدعم الفني في مايكروسوفت تيمز، حيث يتم توجيه الموظفين إلى صفحة مزيفة تحاكي لوحة تحديثات أوتلوك أو فلتر البريد العشوائي الخاص بالشركة.
في ذلك الموقع الإلكتروني الاحتيالي، تُفعّل أزرار التنزيل آليات إصابة متنوعة تُهيئ النظام لتنفيذ الحمولة الخبيثة. ومن بين أهم هذه الآليات التلاعب بملفات ZIP عن طريق تغيير رؤوسها لتجنب اكتشافها بواسطة أدوات الحماية.
تتضمن الحزمة التي تم تنزيلها نسخة مضمنة من لغة بايثون ومكونين رئيسيين: إضافة لمتصفح إيدج مُتنكرة في هيئة وكيل مراقبة، ومنفذ على مستوى النظام. تعمل الإضافة داخل المتصفح، وتتصل بخادم الأوامر والتحكم، بينما يعمل المكون الثاني كجسر إلى نظام التشغيل.
يكمن العنصر الأساسي في الهجوم في استغلال بروتوكول المراسلة الأصلي لمتصفح كروم، والذي يسمح بالتواصل بين الإضافات والتطبيقات المحلية. ورغم أن هذه الميزة مصممة للاستخدامات المشروعة، مثل برامج إدارة كلمات المرور، إلا أنها في هذا السيناريو تصبح القناة التي تكسر عزل المتصفح.
من خلال هذه الآلية، يمكن للامتداد أن يأمر الباب الخلفي بتنفيذ الأوامر، أو البرامج النصية PowerShell، أو كود Python، أو مهام استطلاع النظام.
تحذر شركة Zscaler من أن هذه التقنية تعكس زيادة في تطور الجماعات المرتبطة ببرامج الفدية، والتي تجمع الآن بين طبقات تنفيذ متعددة للحفاظ على استمراريتها على الأنظمة المخترقة.
ليست هناك تعليقات:
إرسال تعليق