فقط عندما اعتقدنا أن الحيل لدى مجرمي الإنترنت قد نفدت، ذهبوا وسحبوا معجزة أخرى من قبعاتهم الخبيثة. التقي المسودة النهائية- ليس برنامج كتابة السيناريو، بل هو برنامج ضار خفي جديد تم استخدامه مسودات البريد الإلكتروني في Outlook للاتصالات السرية.
نعم، ينزلق المهاجمون إلى مسودات البريد الوارد الخاصة بك مثل ضيف غير مدعو في حفلة خاصة.
لعبة الهجوم بلاي باي بلاي
يبدأ الأمر بمساعد صغير يسمى أداة تحميل المسار، الذي يتسلل إلى نظام الضحية وينفذ كود shell الذي يجلب FinalDraft. لتجنب الاكتشاف السهل، يعمل PathLoader بجد - باستخدام تجزئة API وتشفير السلسلة لإبقاء أدوات الأمان في وضع حرج.
بمجرد تشغيل FinalDraft، يبدأ التجسس الحقيقي. بدلاً من إرسال رسائل بريد إلكتروني واضحة تصرخ، «مرحبًا، أنا هاكر!»، فهو يندمج في حركة مرور Microsoft 365 مثل الحرباء.
كيف؟ عن طريق زرع الأوامر في الداخل مسودات Outlook—لا تضغط مطلقًا على «إرسال» ولكن لا تزال الرسالة تصل. متستر، أليس كذلك؟
يتم حفظ أمر المهاجم كمسودة بعنوان r_ ، يقوم الجهاز المصاب بقراءة المسودة وتنفيذ الأمر وتخزين النتائج في مسودة جديدة بعنوان p_، بمجرد الانتهاء من ذلك، تحذف البرامج الضارة المسودات، دون ترك أي أثر
إنه مثل إجراء محادثة سرية بالحبر المختفي!
ما الذي يمكن أن تفعله هذه البرامج الضارة؟
FinalDraft لا يقتصر فقط على كتابة رسائل البريد الإلكتروني، بل هو كتابة التاريخ السيبراني. هذا البرنامج الضار عبارة عن سكين رقمي للجيش السويسري يحتوي على 37 أمرًا مختلفًا، بما في ذلك:
استخراج البيانات- سرقة الملفات وبيانات الاعتماد ومعلومات النظام مثل النشل الإلكتروني.
عملية الحقن- تشغيل التعليمات البرمجية الضارة داخل البرامج الشرعية (لم يسبق لها مثيل) mspaint.exe ارتكاب جرائم إلكترونية؟ لديك الآن!).
هجمات تمرير الهاش- حصاد بيانات اعتماد المصادقة للحركة الجانبية (لأن نظامًا واحدًا مخترقًا لا يكفي أبدًا لهؤلاء الأشخاص).
بروكسي الشبكة- إنشاء أنفاق سرية لتجاوز المراقبة الأمنية.
عمليات الملفات- نسخ الملفات وحذفها والكتابة فوقها مثل محرر الأشباح.
تنفيذ بوويرشيل- تشغيل أوامر بوويرشيل بدون تشغيل بوويرشيل—لأن الدقة هي المفتاح.
أوه، وفي حال كنت تعتقد أن مستخدمي Linux آمنون - فكر مرة أخرى. أ متغير لينوكس تم رصد FinalDraft، مما يثبت أن المتسللين يحبون الدعم عبر المنصات أكثر من بعض شركات البرمجيات.
من الذي تعرض للضرب؟
مختبرات الأمان المرنة كشفت حملة التجسس هذه، التي أطلق عليها اسم المرجع 7707وقد كشف تحليلهم عن روابط تشير إلى عملية أكبر بكثير.
ومما زاد الطين بلة، يستخدم المهاجمون مزودي البنية التحتية للاتصالات والإنترنت المعرضين للخطر كمنصات إطلاق. حتى أ. نظام التخزين العام بجامعة جنوب شرق آسيا تم اكتشاف أنه يستضيف حمولات برامج ضارة - إما «عفوًا» عرضيًا أو اختراقًا متعمدًا لسلسلة التوريد.
كيف تحافظ على سلامتك (وتحافظ على نظافة المسودات الخاصة بك)
راقب نشاط المسودة غير المعتاد- إذا رأيت مسودات غريبة تظهر وتختفي، فقد حان الوقت لدق الإنذارات.
تمكين المصادقة متعددة العوامل (MFA) - هذا هو الأمن السيبراني 101. افعلها.
استخدم الاكتشاف القائم على السلوك- لن تتمكن أدوات AV التقليدية من اكتشاف ذلك بسهولة - ابحث عن الحلول القائمة على السلوك.
الحد من أذونات رمز OAuth- إذا طلب أحد التطبيقات عددًا كبيرًا جدًا من الأذونات، فكر مليًا قبل منحها.
أصبح المهاجمون أكثر ذكاءً وخفيًا وإبداعًا مع مآثرهم. الطريقة الوحيدة للبقاء في المقدمة هي البقاء على اطلاع، والاستعداد، وبالطبع الشعور ببعض الارتياب (نوع الأمن السيبراني الصحي).
ابق آمنًا، وكن على دراية بالفضاء الإلكتروني، ومن أجل حب التشفير، توقف عن تنزيل المرفقات المشبوهة!
.png)
.png)
.png)