الأخيرة حملة تحديث وهمية، المنسوبة إلى مجموعة التهديد سوغوليش، يستخدم مواقع الويب المخترقة لتقديم مطالبات وهمية بتحديث المتصفح والتطبيق والتي تؤدي، عند النقر عليها، إلى تثبيت باب خلفي دافئ للكوكي.
مطالبات تحديث المتصفح المزيف وجافا
الأدوات:
- باب خلفي دافئ للكوكي: باب خلفي متطور لنظام Windows قادر على القيام بالعديد من الأنشطة الضارة، بما في ذلك سرقة البيانات وتنفيذ الأوامر التعسفي.
- جافا سكريبت: يُستخدم لجلب مثبت WarmCookie عند تفاعل المستخدم مع مطالبة التحديث المزيفة.
- مواقع الويب المخترقة: المواقع الشرعية التي تم اختراقها لخدمة محتوى ضار.
العملية:
· تفاعل المستخدم: يبدأ الهجوم عندما ينقر المستخدم على إشعار تحديث مزيف للتطبيقات الشائعة مثل Google Chrome أو Java.
· تنزيل ضار: يتم تنفيذ JavaScript، والذي يجلب مثبت WarmCookie ويطالب المستخدم بحفظه.
· تنفيذ البرامج الضارة: بمجرد التنفيذ، يقوم البرنامج الضار بإجراء فحوصات ضد الأجهزة الافتراضية لتجنب الاكتشاف وإرسال بصمة النظام إلى خادم الأوامر والتحكم (C2).
· تسليم الحمولة: يمكن أن يؤدي الباب الخلفي لـ WarmCookie إلى إدخال حمولات ضارة إضافية، بما في ذلك سرقة المعلومات وأجهزة RAT وبرامج الفدية.
الأهداف:
- المستخدمون الذين يزورون مواقع الويب المخترقة بشكل خاص.
- تشمل التطبيقات المستهدفة متصفحات الويب الشائعة (Chrome و Firefox و Edge) و Java.
ذا تايكي:
تؤكد هذه الحملة على أهمية الشك عندما يُطلب منك تحديث البرنامج. عادةً ما تكون التحديثات الشرعية تلقائية ولا تتطلب تنزيلات يدوية. يجب أن يدرك المستخدمون أنه حتى مواقع الويب المألوفة يمكن اختراقها.
عوامل التخفيف:
إعدادات أمان المتصفح: تأكد من تكوين إعدادات المتصفح لحظر النوافذ المنبثقة والتنزيلات المشبوهة.
استخدام ملحقات الأمان: قم بتثبيت ملحقات المتصفح التي توفر أمانًا إضافيًا ضد مواقع التصيد الاحتيالي والمواقع الضارة.
تحديثات البرامج العادية: حافظ على تحديث جميع البرامج من خلال القنوات الرسمية وتجنب تنزيل التحديثات من مواقع الطرف الثالث.
تعليم المستخدم: إجراء دورات تدريبية منتظمة لتثقيف المستخدمين حول التعرف على مطالبات التحديث المزيفة وأساليب التصيد الأخرى.
مراقبة الشبكة: تنفيذ حلول مراقبة الشبكة لاكتشاف الاتصالات الخارجية غير العادية التي قد تشير إلى الأنظمة المخترقة.
.png)
.png)