تقوم الوحدة 42 للأبحاث واستقصاء التهديدات التابعة لشركة بالو ألتو نتوركس بمراقبة ومتابعة رسائل سبام تعمل على إرسال برمجية Hancitor الخبيثة على مدار العامين الماضيين.
وتنتشر برمجية Hancitor الخبيثة التي تعرف أيضاً باسم Chanitor أو Tordal، عبر تطبيقات مايكروسوفت أوفيس حيث تنتشر على شكل حملات رسائل سبام خبيثة.
وقد صممت برمجية Hancitor الخبيثة بهدف إصابة جهاز المستخدم العامل بنظام التشغيل مايكروسوفت ويندوز ببرمجيات خبيثة إضافية، حيث تكون النتيجة النهائية عبارة عن فيروسات حصان طروادة تستهدف البيانات البنكية.
ولكن تأثير برمجية Hancitor كان محدوداً بشكل نسبي، فعلى التهيئة القياسية لمضيف نظام التشغيل ويندوز 10، يمكن اكتشاف البرمجية الخبيثة بسهولة من قبل أدارة مكافحة الفيروسات المدمجة الخاصة بنظام التشغيل ويندوز.
وعلاوة عن ذلك، تستطيع الكثير من فلاتر السبام اكتشاف هذه الرسائل البريدية قبل وصولها إلى الشخص المستهدف.
كيف تعمل برمجية Hancitor الخبيثة بشكل فعال؟ يمكن أن تكون الضحية المستهدفة المثالية شخص ما يستخدم نسخة قديمة من نظام التشغيل ويندوز، مثل ويندوز 7 ومع وجود برنامج في حالة عدم التشغيل لمكافحة الفيروسات. مثل هؤلاء الضحايا لا يعيرون اهتماماً للتهديديات التي يواجهونها ويمكن أن يضغطوا على أية روابط أو مرفقات تصلهم.
وعلى ما يبدو وأن هذه الفئة الديموغرافية المستهدفة تحظى بأهمية كافية لدى المجرمين الذين يقفون وراء برمجية Hancitor الخبيثة وتدفعهم لمواصلة ارسال هذه الرسائل البريدية بشكل منتظم.
وعلى الرغم من نشر الباحثين للعديد من التقارير حول حملات السبام التي تتضمن برمجية Hancitor الخبيثة، إلا أن تركيزهم الأبرز كان على البرمجية الخبيثة ذاتها وإمكانياتها.
ولكن، كيف يمكن لهذا النوع من الهجمات تحقيق الربح المادي على الرغم من استهدافها لقاعدة محدودة من الضحايا؟ تم نشر القليل من الأبحاث حول كيفية استخدام هذه الحملة لحسابات الاحتيال والبنى التحتية المخترقة للأعمال التجارية الشرعية. ويعتبر فهم قواعد اللعبة المتبعة من قبل هؤلاء المجرمين يعتبر أمراً في غاية الأهمية لفهم سبب استمرارهم في العمل.
وقال براد دنكن، الخبير الأمني لدى شركة بالو ألتو نتوركس: “لا زلنا نلاحظ ونشهد مئات الأمثلة شهرياً على برمجية Hancitor الخبيثة التي يم إرسالها لمجموعة متنوعة من المتلقين”.
وفقاً لبيانات منصة أوتوفوكس لاستقصاء التهديدات التابعة لنا، يمكن الاستنتاج بأن المجرمين الذين يقفون خلف هذه الحملة يتبعون أسلوب أسبوع العمل المؤلفة من خمسة أيام، بداية من الاثنين لغاية الجمعة.
اضاف إن الارتفاع في نشاط الرسائل الإلكترونية غالباً ما يحدث في منتصف الأسبوع، الأمر الذي يعكس النمط العام للإنتاجية المتبع من قبل معظم الأشخاص الذين يتبعون الجدول الزمني ذاته.
خلال السنوات الماضية، تم إيصال برمجية Hancitor الخبيثة كمرفقات ضمن رسائل البريد الإلكتروني خلال حملات رسائل السبام الخبيثة.
وتقوم ملفات مايكروسوفت ورد في هذه الحملة الخبيثة بتحميل غيرها من البرمجيات الخبيثة الأخرى مثل Pony، وVawtrak، وDELoader .
نجح المجرمون في الماضي بإصابة الضحايا باستخدام مرفقات البريد الإلكتروني، إلا أن أدوات الفلترة الخاصة بخدمة البريد الإلكتروني فقد تطورت كثيراً في السنوات الأخيرة.
معظم الحلول الأمنية الحالية على مستوى الشركات تتضمن تركيز كبير على مرفقات البريد الإلكتروني، وبإمكانها الكشف بسهولة عن المستندات الخبيثة، بحيث تؤثر بشكل كبير على مستوى نجاح الحملات الخبيثة.
وللالتفاف بشكل أكبر من عمليات الكشف، قام المجرمون منذ نهاية العام 2016 بإضافة خطة إضافية ضمن عملية الاستهداف. فعوضاً عن استخدام مرفقات البريد الإلكتروني، تم إضافة رابط ضمن هذه الرسائل يشير على سيرفرات توزيع تستضيف الملفات الملحقة ببرمجية Hancitor الخبيثة.
المصدر : https://wp.me/pazHGs-3UB
عذراً التعليقات مغلقة