اكتشف المحللون في شركة Trustwave لأمن المعلومات حملة تصيد جديدة تستخدم منشورات فيسبوك كجزء من هجماتها لخداع المستخدمين للتخلي عن بيانات الدخول على حساباتهم ومعلومات التعريف الشخصية.
قال المحللون إن رسائل البريد الإلكتروني المرسلة إلى الأهداف تخفي أسئلة انتهاك حقوق الطبع والنشر في منشورات المستلمين على فيسبوك وحذروا من أنه سيتم حذف حساباتهم في غضون 48 ساعة إذا لم يستأنفوا.
يقوم المهاجمون بربط نداءات حذف الحساب بالمنشورات الفعلية على Facebook، مما يساعدهم على تجاوز حلول أمان البريد الإلكتروني والتأكد من وصول رسائل التصيد الاحتيالي إلى صناديق الوارد الخاصة بأهدافهم.
صفحة فيسبوك تساعد في الاحتيال
يبدو أن منشور Facebook تديره الشركة باستخدام شعار فيسبوك لإخفاء نفسه كصفحة دعم. ومع ذلك، يحتوي هذا المنشور على رابط إلى موقع تصيد خارجي يحمل اسم Meta، الشركة التي تمتلك Facebook ؛ مما يقلل من فرص اكتشاف الضحايا لعملية الاحتيال.
وجد محللو Trustwave عناوين URL الثلاثة التالية: meta[.]forbusinessuser[.]xyz/?fbclid=123، و meta[.]forbusinessuser[.]xyz/main[.]php، و meta[.]forbusinessuser[.]xyz/checkpoint[.]php.
قال المحللون إن مواقع التصيد الاحتيالي صُممت لتبدو مثل صفحة شكوى حقوق الطبع والنشر الحقيقية على فيسبوك ، والتي تضمنت نموذجًا يطلب من الضحايا إدخال الاسم الكامل وعنوان البريد الإلكتروني ورقم الهاتف واسم المستخدم.
ابحث دائما عن اسم الموقع
أثناء تقديم هذه البيانات، تجمع الصفحة أيضًا عنوان IP الخاص بالضحية ومعلومات تحديد الموقع الجغرافي، وتخرج كل المحتوى إلى حساب Telegram تحت سيطرة المهاجم، حيث قد يجمع المهاجم معلومات إضافية لتجاوز حماية بصمات الأصابع أو مشكلات الأمان، أثناء الاستيلاء على الضحية حساب الفيسبوك.
ولكن لو دققت في اسم الموقع الذي تم تحويلك عليه فستكتشف ان الموقع غير تابع لشركة ميتا أو فيسبوك بالرغم من التصميم الكامل المسروق من صفحات فيسبوك.
وفي الوقت نفسه، تأخذ عملية إعادة التوجيه الضحية إلى صفحة التصيد التالية، والتي تعرض طلبًا وهميًا لـ OTP المكون من 6 أرقام مع مؤقت. مهما كان الرمز الذي تدخله الضحية ينتج عنه خطأ، إذا نقر على الخيار “هل تحتاج إلى طريقة أخرى للتحقق؟”، فإنه يأخذ الضحية إلى فيسبوك فِعلي.
وجد المحللون في Trustwave أيضًا أن المهاجمين كانوا يستخدمون Google Analytics على صفحات التصيد الخاصة بهم لمساعدتهم على تتبع فعالية حملاتهم.
قالت Trustwave إنها عثرت على العديد من حسابات Facebook التي استخدمت منشورات مزيفة لانتحال صفة صفحات الدعم، وتوجيه الضحايا إلى مواقع التصيد الاحتيالي.
ترتبط هذه المنشورات بمواقع التصيد الاحتيالي باستخدام أدوات تقصير عناوين URL لتجنب التعرف عليها وإزالتها بواسطة فيسبوك .
عادة فإن اكثر طريقة للإيقاع بالضحايا وسرقة بياناتهم هي عن طريق الصفحات المزيفة التي تنتحل هوية فيسبوك مثل الطريقة المذكورة في هذا التقرير.
في تطور جديد يثير القلق في عالم الأمن الرقمي، أعلنت شركة Proofpoint الأمنية عن اكتشاف برمجية خبيثة جديدة تُدعى “فولدمورت”. تستهدف هذه البرمجية مستخدمي خدمة مستندات جوجل (Google Sheets) وتنتهج أسلوب انتحال شخصية هيئات الضرائب في الولايات المتحدة وأوروبا وآسيا.
يعد هذا الاكتشاف مؤشرًا على تزايد تعقيد وتنوع التهديدات السيبرانية التي تواجه الأفراد والشركات على حد سواء.
ظهور برمجية خبيثة تستهدف مستندات جوجل
تعتبر “فولدمورت” برمجية خبيثة متقدمة تعمل كباب خلفي، مما يتيح للمهاجمين السيطرة الكاملة على الأجهزة المصابة وسرقة البيانات الحساسة منها. ما يميز هذه البرمجية هو استخدام خدمة مستندات جوجل كمركز تحكم، مما يجعلها أكثر صعوبة في الكشف بواسطة برامج الأمن السيبراني التقليدية. تتيح هذه التقنية للمهاجمين إدارة الهجمات عن بُعد، مما يزيد من خطورة التهديد.
تنتشر “فولدمورت” بشكل رئيسي عبر رسائل بريد إلكتروني احتيالية تدّعي أنها صادرة من هيئات الضرائب. تحتوي هذه الرسائل على روابط لمستندات مزيفة، وعند النقر على هذه الروابط، يتم تحميل ملف مضغوط يحتوي على البرمجية الخبيثة. يستغل الفيروس ثقة المستخدمين في رسائل البريد الإلكتروني الرسمية والمستندات لتمرير البرمجية دون أن يلاحظها المستخدمون.
تستخدم برمجية خبيثة فولدمورت تقنيات متقدمة للتخفي، بما في ذلك استغلال ملفات تنفيذية شرعية لشركة Cisco لتثبيت نفسها على الأجهزة المستهدفة. هذه الأساليب تجعل من الصعب على أدوات الأمن السيبراني التقليدية اكتشاف البرمجية، حيث تتنكر كملفات تنفيذية معروفة وموثوقة.
حتى الآن، تقتصر تأثيرات “فولدمورت” على أجهزة ويندوز، بينما تبقى أجهزة لينكس وماك في مأمن من هذه البرمجية. بالرغم من ذلك، يبقى من الضروري على جميع المستخدمين تبني إجراءات أمنية وقائية لضمان حماية بياناتهم ومعلوماتهم الشخصية.
توصي شركة Proofpoint مسؤولي تقنية المعلومات باتخاذ خطوات وقائية لضمان سلامة الأنظمة. من بين هذه الخطوات، تقييد الوصول إلى خدمات مشاركة الملفات الخارجية ومراقبة النصوص البرمجية المشبوهة التي تعمل على الأجهزة. كما ينبغي تنفيذ فحوصات دورية واستخدام حلول أمان متقدمة للتصدي للتهديدات السيبرانية المحتملة.
في تطور جديد في عالم الأمن السيبراني، أعلنت شركة Proofpoint الأمنية عن اكتشاف برمجية خبيثة تستهدف مستندات جوجل أطلق عليها اسم “فولدمورت” وتستهدف هذه البرمجية مستخدمي خدمة مستندات جوجل (Google Sheets).
تقوم بانتحال شخصية هيئات الضرائب في عدة مناطق حول العالم، بما في ذلك الولايات المتحدة وأوروبا وآسيا والهدف الأساسي لهذه البرمجية هو اختراق الأجهزة والسيطرة عليها بشكل غير قانوني.
برمجية خبيثة تستهدف مستندات جوجل
تعمل “فولدمورت”وهي برمجية خبيثة تستهدف مستندات جوجل كباب خلفي يُمكّن المهاجمين من التحكم في الأجهزة المصابة، مما يتيح لهم إمكانية سرقة البيانات الحساسة دون أن يُكتشفوا بسهولة.
وما يجعل هذه البرمجية خطيرة هو استخدامها لخدمة مستندات جوجل كمركز تحكم وسيطرة، مما يجعل اكتشافها أمرًا صعبًا حتى بالنسبة لأحدث برامج الأمن السيبراني. هذا الأسلوب المتقدم في التخفي يجعل “فولدمورت” تهديدًا متزايدًا للمستخدمين الذين يعتمدون على هذه الخدمة لتبادل المعلومات.
تنتشر برمجية خبيثة تستهدف مستندات جوجل عبر رسائل بريد إلكتروني احتيالية تتنكر على أنها مراسلات رسمية من هيئات الضرائب. تحتوي هذه الرسائل على روابط تقود إلى مستندات مزيفة، وعند النقر عليها، يقوم المستخدم بتحميل ملف مضغوط يحتوي على البرمجية الخبيثة.
بمجرد تثبيتها، تستخدم “فولدمورت” تقنيات متقدمة للتخفي، من بينها استغلال ملفات تنفيذية شرعية لشركة Cisco، مما يعزز من قدرتها على البقاء غير مكتشفة لفترة طويلة.
حتى الآن، يقتصر خطر هذه البرمجية على الأجهزة التي تعمل بنظام ويندوز، بينما تبدو أجهزة لينكس وماك في مأمن منها. ومع ذلك، تنصح شركة Proofpoint مسؤولي تقنية المعلومات باتخاذ تدابير وقائية صارمة. من بين هذه التدابير تقييد الوصول إلى خدمات مشاركة الملفات الخارجية، ومراقبة النصوص البرمجية المشبوهة التي قد تعمل على أجهزة الشركة، وذلك للحد من خطر الإصابة بهذه البرمجية الخطيرة.
أعلنت لجنة الأمن الداخلي بمجلس النواب الأمريكي عن تنظيم جلسة استماع هامة لمساءلة مسؤول كراود سترايك حول العطل التقني الكبير الذي أثر على حركة الطيران والأعمال على مستوى العالم في 19 يوليو الماضي.
ومن المقرر أن يمثل آدم مايرز، نائب رئيس عمليات مكافحة الخصوم في الشركة، أمام اللجنة في 24 سبتمبر المقبل لتوضيح تفاصيل هذه الأزمة التقنية.
مسؤول كراود سترايك يستعد للمثول أمام الكونغرس
على الرغم من الدعوة التي وجهت لجورج كورتز، الرئيس التنفيذي ومسؤول كراود سترايك، للشهادة، إلا أنه لم يتم إدراجه ضمن قائمة الشهود حاليًا.
صرح رئيس اللجنة، مارك غرين، قائلاً: “بينما كنت آمل في حضور كورتز، فإنني أتطلع لسماع شهادة السيد مايرز، الذي أكدت كراود سترايك أنه الشخص المناسب لمناقشة تفاصيل العطل. يستحق المواطنون الأمريكيون فهم كيفية حدوث هذه الواقعة والإجراءات التي تتخذها الشركة لتفادي تكرار مثل هذه الأعطال في المستقبل عبر مختلف القطاعات.”
في بيان منفصل، شدد غرين على أن تحديث البرمجيات المعيب الذي أثر على نحو 8.5 مليون جهاز يعمل بنظام ويندوز “يبرز الحاجة الملحة لتعزيز النظافة الإلكترونية والمرونة في مواجهة التهديدات المتزايدة” وأضاف أن “الاعتماد المتنامي على أنظمة تكنولوجيا المعلومات المترابطة قد وسع نطاق المخاطر”.
من جانبه، أشار أندرو غارابينو، الجمهوري من نيويورك ورئيس اللجنة الفرعية للأمن السيبراني وحماية البنية التحتية، إلى أن الجلسة ستكون “فرصة هامة لفهم المزيد حول الخطوات التي اتخذتها الشركة بعد العطل لضمان عدم تكراره”.
وأضاف غارابينو أنه على الرغم من أن العطل لم يكن نتيجة لهجوم إلكتروني، إلا أن الخصوم قد يكونون قد راقبوا الحدث و”استفادوا من معرفة كيف يمكن لتحديث برمجي معيب أن يتسبب في تأثيرات متتالية على بنيتنا التحتية الحيوية”.