اكتشفت شركة كاسبرسكي في أوائل أبريل ارتفاعًا في وتيرة انتشار برمجيات Qbot الضارة التي تستهدف المستخدمين في الشركات، وذلك من خلال حملة إرسال رسائل بريد إلكتروني ضارة تستخدم تقنيات الهندسة الاجتماعية المتقدمة.
يعيد المهاجمون توجيه ملفات مرفقة بنسق PDF ضار إلى سلاسل البريد الإلكتروني نفسها، وهو ما يمثل خطورة لأن الطريقة غير معتادة باستخدام هذه البرامج الضارة. واستقبلت الشركة أكثر من 5,000 رسالة إلكترونية ضارة تحتوي على مرفقات PDF في دول مختلفة منذ بداية الحملة في 4 أبريل، وتستمر الحملة حتى الآن.
تعد برمجيات Qbot الضارة جزءًا من شبكة البوتات وتستهدف المصارف، وتسمح للمهاجمين بالسيطرة على النظام المصاب والتحكم في البيانات المسروقة وتثبيت برامج الفدية والتروجنات الأخرى. يستخدم مشغلو البرامج الضارة خطط توزيع متنوعة، مثل إرسال رسائل بريد إلكتروني ضارة بمرفقات PDF، والتي لم تلاحظ على نحو واسع النطاق في إطار هذه الحملة من قبل. قام باحثو كاسبرسكي بتحليل الحملة التي تستخدم تقنيات الهندسة الاجتماعية المتقدمة وملفات PDF الضارة المرفقة بها.
لوحظ ارتفاع في نشاط حملة البريد الإلكتروني العشوائي باستخدام برامج Qbot المحددة وملفات PDF المرفقة، وبدأت هذه الموجة في الليلة الرابعة من أبريل 2023. ومنذ ذلك الحين، اكتشف الخبراء أكثر من 5000 رسالة إلكترونية عشوائية تحتوي على ملفات PDF، وتنتشر هذه البرامج الضارة باللغات الإنجليزية والألمانية والإيطالية والفرنسية.
يتم توزيع البرامج الضارة من خلال رسائل البريد الإلكتروني المرسلة إلى ضحايا محتملين، وتطلب منهم فتح ملف PDF المرفق الضار في ظروف مختلفة لا تثير الشك، مثل مشاركة وثائق ملف المرفق الكامل أو حساب تكاليف العقد الموضحة في الملف.
توصي داريا إيفانوفا، خبيرة تحليل البرامج الضارة في كاسبرسكي، الشركات باليقظة العالية واستخدام حلول الأمن السيبراني المتخصصة للحفاظ على أمان رسائل البريد الإلكتروني، حيث أن برامج Qbot ضارة جدًا ويعمل المهاجمون باستمرار على تحسين تقنياتهم وإضافة عناصر جديدة لزيادة احتمالية وقوع الموظفين ضحايا لهذه الحيلة الخادعة.
وتشير إلى أن الحفاظ على أعلى مستوى من الأمان يتطلب التحقق من العديد من العلامات الحمراء، مثل تهجئة عنوان البريد الإلكتروني للمرسل والمرفقات الغريبة والأخطاء النحوية.
يتمثل محتوى ملف PDF في شعار Microsoft Office 365 أو Microsoft Azure، حيث يحتمل أن يتم تحميل أرشيف ضار إلى جهاز الحاسوب من خادم بعيد، مثل موقع ويب مخترق، عند النقر على الخيار "فتح". وقام خبراء كاسبرسكي بتحليل تقني مفصل لهذه العملية، ويمكن الاطلاع عليه في Securelist.
ويوصي خبراء كاسبرسكي بتطبيق الإجراءات التالية لحماية الشركات من التهديدات المشابهة: التحقق من عنوان المرسل، وتوخي الحذر من الرسائل الملحة، وتوفير التدريب الأساسي للموظفين على التصرفات الذكية في مجال الأمن السيبراني، واستخدام حلول حماية نقاط النهاية وخوادم البريد، مع إمكانات مكافحة التصيد الاحتيالي، مثل Kaspersky Endpoint Security for Business، وتثبيت حلول الأمان الموثوق بها، مثل Kaspersky Secure Mail Gateway الذي يعمل تلقائيًا على تنقية الرسائل غير المرغوب فيها.
إرسال تعليق