كان فريق FortiMail IR هو الذي كشف عن تهديد جديد يؤثر في المقام الأول على مستخدمي الويندوز ، ولكن أيضًا على مستخدمي لينكس وmacOS إذا قاموا بتثبيت Java.
كما يمكنك أن ترى في البيان الصحفي المنشور، فهذه حملة بريد إلكتروني تقوم بتوزيع برنامج Trojan للوصول عن بعد (RAT) مخفيًا في فواتير PDF المفترضة.
الحيلة بسيطة وفعالة: يستخدم المهاجم خدمة بريد إلكتروني شرعية مخولة بإرسال رسائل بريد إلكتروني نيابة عن نطاقات متعددة. وماذا يحدث؟ تمر رسائل البريد الإلكتروني هذه عبر مرشحات الأمان المعتادة من خلال اجتياز التحقق من صحة SPF، مما يضمن أن المرسل جدير بالثقة. بهذه الطريقة، يخفض المتلقي حذره ويفتح البريد الإلكتروني بسهولة أكبر.
يحتوي البريد الإلكتروني المعني على ملف PDF يطلب من المستخدم مراجعة فاتورتين. يأتي دور الهندسة الاجتماعية هنا لأنه من منا لا يفتح بريدًا إلكترونيًا يبدو أنه يحتوي على فواتير مهمة؟ ولكن عند فتح الملف، يعرض تحذيرًا يفيد بأن المحتوى غير معروض بشكل صحيح ويطالب المستخدم بتنزيله على جهاز الكمبيوتر الخاص به.
بالنقر على الزر الذي يظهر، يتم إعادة توجيه المستخدم إلى Dropbox لتنزيل ملف HTML يسمى "Fattura" (وهو ما يعني "الفاتورة" باللغة الإيطالية). يحتوي هذا الملف الذي يبدو بريئًا على خطوة تحقق من خلال عبارة بسيطة مثل "أنا لست روبوتًا". ثم يظهر زر آخر يقوم بإعادة توجيه المستخدم عبر رابط مختصر، مما يجعل من المستحيل على المستخدم رؤية الرابط الحقيقي.
المشكلة هي أنه بمجرد تسجيل الدخول، يوجد ملف في Mediafire يخفي ملفًا ضارًا. إذا قمت بفتحه، سيتم إصابة جهاز الكمبيوتر الخاص بك ببرنامج Ratty الخبيث، وهو حصان طروادة يمنح المهاجمين السيطرة الكاملة على جهاز الكمبيوتر المصاب: حيث يمكنهم تنفيذ الأوامر، وتسجيل ضغطات المفاتيح، وعرض الملفات، وحتى تنشيط الكاميرا أو الميكروفون.
حتى الآن، تم اكتشاف هذه الهجمات في إيطاليا وإسبانيا، لذا يجب أن تكون يقظًا للغاية. كيف تحمي نفسك؟ تأكد من أن برنامج مكافحة الفيروسات لديك محدث وكن دائمًا حذرًا من رسائل البريد الإلكتروني التي تطلب منك تنزيل الملفات أو فتح الروابط، حتى لو كانت تبدو وكأنها من مصادر موثوقة.
ليست هناك تعليقات:
إرسال تعليق