خصومات التراخيص المتعددة
Threat Database Malware البرمجيات الخبيثة DarkGate

البرمجيات الخبيثة DarkGate

بواسطة Mezo في Malware
ترجمة الى:
العربية

تم تسليط الضوء على حملة malspam تستخدم برامج ضارة متاحة بسهولة تُعرف باسم DarkGate. يشير باحثو الأمن السيبراني إلى أن الزيادة في نشاط البرامج الضارة DarkGate ترجع على الأرجح إلى القرار الأخير الذي اتخذه مطور البرامج الضارة بعرضه للإيجار لمجموعة مختارة من شركاء مجرمي الإنترنت. وقد ارتبط نشر هذا التهديد أيضًا بحملة واسعة النطاق تستغل سلاسل رسائل البريد الإلكتروني المخترقة لخداع المستلمين وحملهم على تنزيل البرامج الضارة دون علمهم.

يتم تسليم برنامج DarkGate الضار عبر عملية هجوم متعددة المراحل

يبدأ الهجوم عن طريق استدراج الضحية إلى عنوان URL للتصيد الاحتيالي، والذي، عند النقر عليه، يمر عبر نظام توجيه حركة المرور (TDS). الهدف هو توجيه الضحايا المطمئنين إلى حمولة MSI في ظل ظروف معينة. أحد هذه الشروط هو وجود رأس تحديث في استجابة HTTP.

عند فتح ملف MSI، يتم تشغيل عملية متعددة المراحل. تتضمن هذه العملية استخدام البرنامج النصي AutoIt لتنفيذ كود القشرة، والذي يعمل كوسيلة لفك تشفير وإطلاق تهديد DarkGate عبر برنامج تشفير أو أداة تحميل. لنكون أكثر دقة، تمت برمجة المُحمل لتحليل البرنامج النصي AutoIt واستخراج الحمولة المشفرة منه.

كما لوحظت نسخة بديلة من هذه الهجمات. بدلاً من ملف MSI، يتم استخدام برنامج Visual Basic Script، والذي يستخدم cURL لاسترداد كل من ملف AutoIt القابل للتنفيذ وملف البرنامج النصي. لا تزال الطريقة الدقيقة المستخدمة لتسليم برنامج VB غير معروفة حاليًا.

بإمكان DarkGate تنفيذ العديد من الإجراءات الضارة على الأجهزة المخترقة

تتميز DarkGate بمجموعة من الإمكانات التي تسمح لها بتجنب الكشف بواسطة برامج الأمان، وتحقيق الثبات من خلال تعديلات سجل Windows، ورفع الامتيازات، وسرقة البيانات من متصفحات الويب ومنصات البرامج مثل Discord وFileZilla.

علاوة على ذلك، فإنه ينشئ اتصالاً مع خادم القيادة والتحكم (C2)، مما يتيح إجراءات مثل تعداد الملفات، واستخراج البيانات، وبدء عمليات تعدين العملة المشفرة، والتقاط لقطة الشاشة عن بعد، وتنفيذ أوامر مختلفة.

يتم تسويق هذا التهديد بشكل أساسي في المنتديات السرية بموجب نموذج الاشتراك. تختلف نقاط الأسعار المعروضة، حيث تتراوح من 1000 دولار أمريكي يوميًا إلى 15000 دولار أمريكي شهريًا وحتى ما يصل إلى 100000 دولار أمريكي سنويًا. يروج منشئ البرامج الضارة لها باعتبارها "الأداة المثالية لمختبري القلم/الفرق الحمراء"، مع تسليط الضوء على ميزاتها الحصرية التي من المفترض أنها غير موجودة في أي مكان آخر. ومن المثير للاهتمام أن باحثي الأمن السيبراني اكتشفوا تكرارات سابقة لبرنامج DarkGate والتي تضمنت أيضًا وحدة برامج الفدية.

لا تقع في فخ الحيل المستخدمة في هجمات التصيد الاحتيالي

تعد هجمات التصيد الاحتيالي بمثابة مسار تسليم أساسي لمجموعة متنوعة من تهديدات البرامج الضارة، بما في ذلك أدوات السرقة وأحصنة طروادة وأدوات تحميل البرامج الضارة. يعد التعرف على محاولات التصيد الاحتيالي هذه أمرًا بالغ الأهمية للبقاء آمنًا وعدم تعريض أجهزتك لأي مخاطر أمنية أو خصوصية خطيرة. فيما يلي بعض العلامات الحمراء النموذجية التي يجب الانتباه إليها:

  • عنوان المرسل المشبوه : تحقق من عنوان البريد الإلكتروني للمرسل بعناية. كن حذرًا إذا كان يحتوي على أخطاء إملائية أو أحرف زائدة أو لا يتطابق مع النطاق الرسمي للمؤسسة التي يدعي الانتماء إليها.

  • تحيات غير محددة : غالبًا ما تستخدم رسائل البريد الإلكتروني التصيدية تحيات عامة مثل "عزيزي المستخدم" بدلاً من مخاطبتك باسمك. عادةً ما تقوم المنظمات الشرعية بتخصيص اتصالاتها.

  • لغة عاجلة أو تهديدية : تميل رسائل البريد الإلكتروني التصيدية إلى خلق شعور بالإلحاح أو الخوف مما يدفع إلى اتخاذ إجراء فوري. قد يزعمون أنه تم تعليق حسابك، أو ستواجه عواقب ما لم تتصرف بسرعة.

  • الطلبات غير المعتادة للحصول على معلومات شخصية : كن حذرًا من رسائل البريد الإلكتروني التي تطلب معلومات حساسة مثل كلمات المرور أو أرقام الضمان الاجتماعي أو تفاصيل بطاقة الائتمان. لن تطلب المنظمات الشرعية مثل هذه المعلومات عبر البريد الإلكتروني.

  • المرفقات غير العادية : لا تفتح المرفقات من مرسلين غير معروفين. يمكن أن تحتوي على برامج ضارة. حتى لو بدا المرفق مألوفًا، كن حذرًا إذا كان غير متوقع أو يحثك على اتخاذ إجراء فوري.

  • عروض جيدة جدًا لدرجة يصعب تصديقها : قد تعد رسائل البريد الإلكتروني التصيدية بمكافآت أو جوائز أو عروض لا تصدق تهدف إلى جذبك للنقر على الروابط الضارة أو تقديم معلومات شخصية.

  • الروابط غير المتوقعة : كن حذرًا من رسائل البريد الإلكتروني التي تحتوي على روابط بشكل غير متوقع. بدلاً من النقر، اكتب عنوان الموقع الرسمي يدويًا في متصفحك.

  • التلاعب العاطفي : قد تحاول رسائل البريد الإلكتروني التصيدية إثارة مشاعر مثل الفضول أو التعاطف أو الإثارة لتتمكن من الوصول إلى الروابط أو تنزيل المرفقات.

  • نقص معلومات الاتصال : عادةً ما توفر المنظمات الشرعية معلومات الاتصال. إذا كانت رسالة البريد الإلكتروني تفتقر إلى هذه المعلومات أو توفر فقط عنوان بريد إلكتروني عام، فكن حذرًا.

إن البقاء يقظًا وتثقيف نفسك بشأن هذه العلامات الحمراء يمكن أن يقطع شوطًا طويلًا في حماية نفسك من محاولات التصيد الاحتيالي. إذا تلقيت بريدًا إلكترونيًا يثير الشكوك، فمن الأفضل التحقق من شرعيته عبر القنوات الرسمية قبل اتخاذ أي إجراء.

الشائع

الأكثر مشاهدة

احتيال البريد الإلكتروني "Geek Squad"

Phishing, Spam
15,882
أصبح Geek Squad ، وهو مزود دعم تقني شهير ، ضحية لعملية احتيال تصيد احتيالية تسمى Geek Squad Email الاحتيال. تستخدم عملية احتيال الدعم الفني هذه رسائل بريد إلكتروني مزيفة تخدع الأشخاص للتخلي عن معلوماتهم الشخصية ، مثل تفاصيل بطاقة الائتمان وعناوين البريد الإلكتروني وحتى أرقام الضمان الاجتماعي. في هذه المقالة ، سنناقش عملية الاحتيال نفسها ، وشكلها ، ومن أين تأتي رسائل البريد الإلكتروني المزيفة ،...
جار التحميل...