لقد أرسلت إلى استوديو اليوغا الخاص بي نموذج ويب ، وكل ما حصلت عليه هو هجوم البرامج الضارة الرديء

في اليوم الأخير من شهر مايو ، بدأ أحد صناديق البريد الوارد الخاصة بي في تلقي رسائل بريد إلكتروني ، يُزعم أنها من أحد مالكي استوديو اليوغا الذي أزوره. يتعلق الأمر برسالة أرسلتها في يناير عبر موقع الويب الخاص بالاستوديو والتي تم حلها في اليوم التالي في رسالة بريد إلكتروني أرسلها المالك الشريك. الآن ، ها هي ، بعد أربعة أشهر ، تراسلني عبر البريد الإلكتروني مرة أخرى.

كتب كاتب البريد الإلكتروني: “مُدرج أدناه المستندات التي تحدثنا بشأنها الأسبوع الماضي”. “اتصل بي إذا كان لديك أي استفسارات حول الملفات المرفقة.” تم إرفاق ملف مضغوط محمي بكلمة مرور. يوجد أسفل نص الرسالة الرد الذي أرسله لي الشريك في يناير. بدأت رسائل البريد الإلكتروني هذه تأتي مرة أو مرتين يوميًا خلال الأسبوعين المقبلين ، كل واحدة من عنوان مختلف. غالبًا ما تم تغيير الملفات وكلمات المرور ، لكن التنسيق الأساسي ، بما في ذلك سلسلة رسائل البريد الإلكتروني لشهر يناير ، ظل ثابتًا.

بمساعدة الباحثين في شركة الأمان Proofpoint ، أعلم الآن أن رسائل البريد الإلكتروني هي من عمل مجموعة إجرامية يسمونها TA578. TA578 هو ما يُعرف في صناعة الأمن كوسيط وصول أولي. هذا يعني أنه يعرض أجهزة المستخدم النهائي للخطر كثيراً بطريقة انتهازية ، إرسال بريد عشوائي إلى أكبر عدد ممكن من العناوين بملفات ضارة. تبيع العصابة بعد ذلك الوصول إلى الأجهزة التي تعرض للخطر الجهات الفاعلة الأخرى للتهديد لاستخدامها في برامج الفدية والتشفير وأنواع أخرى من الحملات.

ما هو خطف الخيط؟

بطريقة ما ، حصل أعضاء المجموعة على الرسالة التي أرسلتها إلى استوديو اليوغا الخاص بي. أبسط تفسير هو أن جهاز الكمبيوتر الخاص بمالك الاستوديو أو حساب البريد الإلكتروني قد تعرض للاختراق ، ولكن هناك احتمالات أخرى. بحيازة عنوان بريدي الإلكتروني والبريد الإلكتروني الأصلي الذي أرسله لي المالك في يناير ، أصبح لدى TA578 الآن المواد الخام اللازمة لتداولها.

كتب Proofpoint في رسالة بريد إلكتروني ردًا على الأسئلة: “تبدو الرسائل في هذه الحملة وكأنها ردود على سلاسل البريد الإلكتروني الحميدة السابقة”. “يُشار إلى هذه التقنية باسم اختطاف سلاسل الرسائل. يستخدم ممثلو التهديد هذه التقنية لجعل المستلم يعتقد أنهم يتفاعلون مع شخص يثقون به حتى لا يكون لديهم شك بشأن تنزيل أو فتح المرفقات التي قد يتم إرسالها كجزء من المحادثة . يسرق القائمون بالتهديد عادةً هذه الرسائل الحميدة من خلال إصابات سابقة بالبرامج الضارة أو اختراق الحساب. “

عند فك ضغط الملفات المرفقة ، يتم تثبيت Bumblebee ، وهو برنامج تنزيل ضار يستخدمه العديد من الجهات المهددة لتنزيل وتنفيذ حمولات إضافية على الجهاز المخترق. لاحظت Proofpoint لأول مرة الجهات الفاعلة في التهديد باستخدام Bumblebee في الحملات القائمة على البريد الإلكتروني في يمشي.

احتوت الملفات المرفقة برسائل البريد الإلكتروني التي تلقيتها على ملف ISO أو IMG مضمن مع ملف اختصار LNK وملف DLL. يتم استخدام ملف LNK لتنفيذ DLL عند نقطة دخول محددة لبدء البرنامج الضار. تقول Proofpoint أن حملات TA578 Bumblebee تستمر عادةً لتنزيل حمولات المرحلة الثانية من البرامج الضارة Cobalt Strike و Meterpreter.

لحسن الحظ ، علمت على الفور تقريبًا أن رسائل البريد الإلكتروني كانت ضارة ، لكن ليس من الصعب أن أرى كيف قد يقع بعض الأشخاص في الحيلة. من كان يظن أن إرسال رسالة روتينية إلى استوديو يوغا سيفتح الباب لهجوم برمجيات خبيثة؟

لقد قمت بإرسال بريد إلكتروني إلى المالك وشرحت سلسلة الأحداث وحذرت من أن الحساب أو الجهاز الذي يستخدمه الاستوديو قد تم اختراقه بشكل شبه مؤكد. لم أتلق ردا. عندما تابعت ذلك بإرسال رسالة أخرى عبر صفحة الويب الخاصة بالاستوديو ، أجاب أحدهم: “يؤسفني سماع أنك تلقيت هذا النوع من الاتصالات ولكن لا يوجد نظام أو خادم لدينا يرسل إليك رسائل بريد إلكتروني. ستتحقق جيدًا للتأكد من عدم حدوث أي خطأ من جانبك “.

كل ما سبق يقول ، إن تلقي هذه الأنواع من رسائل البريد الإلكتروني الضارة هو إلى حد كبير حقيقة من حقائق الحياة في عام 2022. إذا كنت تتسوق أو تتواصل اجتماعيًا عبر الإنترنت ، فمن الحتمي تقريبًا أن يتم اختراق شخص ما في السلسلة ، وسيتم استغلال نقطة النهاية هذه على أمل لإصابتك.

الخلاصة: توقع رسائل بريد إلكتروني ضارة من الأشخاص أو العناوين التي تعتقد أنك تتعرف عليها باستخدام سلاسل البريد الإلكتروني الحقيقية التي تلقيتها في الماضي. عندما يبدو شيء ما خارج عن الطبيعة ، خذ خطوة إلى الوراء وابدأ مناقشة في سلسلة رسائل بريد إلكتروني منفصلة أو اتصل بالشخص مباشرة. وكما تجربتي مع عروض استوديو اليوجا ، لا تتوقع أن يفهم الشخص الآخر ما يحدث. قبل كل شيء ، لا تنقر على الروابط أو تفتح المرفقات.