عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة حصان طروادة SilentRoute

حصان طروادة SilentRoute

بواسطة Mezo في البرمجيات الخبيثة, أحصنة طروادة
ترجمة الى:

وجد مجرمو الإنترنت مجددًا طريقةً لاستغلال البرامج الموثوقة، هذه المرة بإنشاء نسخة مُحمَّلة بأحصنة طروادة من برنامج SSL VPN NetExtender. تُشكِّل هذه الحملة الهجومية، التي كشف عنها باحثو الأمن السيبراني، تهديدًا خطيرًا للمستخدمين الذين يسعون للوصول إلى الشبكة عن بُعد.

حصان طروادة متنكرًا

تتمحور هذه الحملة حول نسخة مُعدّلة من عميل SSL VPN NetExtender، وهي أداة قانونية مُصممة لتمكين المستخدمين عن بُعد من الاتصال الآمن بشبكات المؤسسة. تُمكّن هذه الأداة المستخدمين من تشغيل التطبيقات الداخلية، والوصول إلى محركات الأقراص المشتركة، ونقل الملفات كما لو كانوا موجودين فعليًا على شبكة الشركة.

للأسف، قامت مجموعة تهديد مجهولة بترويج نسخة مزيفة من هذا البرنامج، محملةً إياه ببرمجية خبيثة تُسمى SilentRoute. بمجرد تثبيتها، تقوم هذه النسخة الخبيثة بسرقة بيانات المستخدم الحساسة بصمت.

كيف يعمل الهجوم

يستخدم المهاجمون موقعًا إلكترونيًا مزيفًا لاستضافة مُثبِّت NetExtender الخبيث، مُتخفيًا في صورة الإصدار الأصلي 10.3.2.27. ورغم إغلاق الموقع، أفادت التقارير أن المُثبِّت كان مُوقَّعًا رقميًا من قِبَل شركة CITYLIGHT MEDIA PRIVATE LIMITED، مما يُضفي عليه طابعًا زائفًا من الشرعية.

من المحتمل أن يتم إغراء الضحايا بتنزيل البرامج الضارة من خلال:

  • مواقع الويب المزيفة التي تظهر في نتائج البحث عن طريق تسميم محرك البحث
  • رسائل البريد الإلكتروني الاحتيالية التي تحتوي على روابط ضارة
  • حملات الإعلانات الخبيثة والمنشورات المضللة على وسائل التواصل الاجتماعي

بمجرد تنزيله، يُنشِر المُثبِّت الخبيث نسخًا مُعَدَّلة من مُكَوِّنَين أساسيَّين، NeService.exe وNetExtender.exe، واللذين تم تعديلهما لتجاهل التحقق من صحة الشهادة الرقمية. يُسرِّب هذان المُكَوِّنان بيانات التكوين بهدوء إلى خادم يُسيطر عليه المُهاجم على العنوان 132.196.198.163:8080.

ما الذي يُسرق وكيف؟

بعد أن يُدخل المستخدم بيانات اعتماد VPN ويضغط على زر "اتصال"، يُجري حصان طروادة عمليات فحص خاصة به قبل إرسال البيانات المسروقة إلى خادم المهاجم. تتضمن المعلومات المسروقة ما يلي:

  • اسم المستخدم
  • كلمة المرور
  • اِختِصاص
  • تفاصيل خادم VPN وبيانات التكوين

قد تتيح هذه المعلومات المسروقة للمهاجمين الوصول غير المصرح به إلى البيئات المؤسسية، مما يجعل هذا الأمر مصدر قلق كبير فيما يتعلق بالأمن السيبراني.

أهم النصائح للبقاء محميًا

لتجنب الوقوع ضحية لمثل هذه التهديدات، ينبغي على المنظمات والمستخدمين القيام بما يلي:

  • قم بتنزيل VPN وأدوات الوصول عن بعد فقط من المواقع الرسمية أو البائعين المعتمدين.
  • كن حذرًا عند النقر على الروابط الموجودة في رسائل البريد الإلكتروني أو الإعلانات أو نتائج البحث، وخاصة تلك التي تعرض تنزيلات البرامج.

بالإضافة إلى ذلك، يجب على مسؤولي الشبكة مراقبة الاتصالات الصادرة غير المعتادة والتأكد من تحديث أنظمة حماية نقاط النهاية وتكوينها للكشف عن الملفات القابلة للتنفيذ التي تم التلاعب بها.

الأفكار النهائية

تُسلّط حملة SilentRoute الضوء على التطور المتزايد في انتشار البرمجيات الخبيثة عبر انتحال الشخصية والهندسة الاجتماعية. ويبقى اليقظة، إلى جانب النظافة الرقمية الصارمة، أفضل وسيلة دفاع ضد هذه التهديدات الخادعة.

الشائع

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
35,279
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...