هل تعلم أن أكثر من 1.2 مليار شخص حول العالم يستخدمون Microsoft Excel؟
هذا صحيح! سواء بالنسبة للميزانية الشخصية أو تحليل البيانات أو تقارير الأعمال، أصبح Excel عنصرًا أساسيًا في حياتنا اليومية.
ومع ذلك، فإن استخدامه على نطاق واسع يجعله أيضًا هدفًا رئيسيًا للتهديدات الإلكترونية. كشف باحثون في Trellix مؤخرًا كيف أن فتح مستند Excel غير ضار يمكن أن يدعو عن غير قصد دخيلًا إلى نظامك. هذه الحقيقة المقلقة هي جزء من حملة البرامج الضارة التي تم اكتشافها حديثًا باستخدام Remcos Remote Access Trojan (RAT).
الاستخدام النشط والتطور:
تشبه هذه الحملة خدعة الساحر - حيث تشتت انتباهك بملف Excel يبدو غير ضار بينما يكمن الخطر الحقيقي في الظل. قام المهاجمون بتحسين أساليبهم، مستفيدين من ثغرة خطيرة في ميكروسوفت أوفيس (CVE-2017-0199) لتنفيذ خططهم الخبيثة. تسمح لهم هذه الثغرة الأمنية بتضمين تعليمات برمجية ضارة داخل المستندات، مما يجعلها تبدو كما لو كنت تفتح جدول بيانات عادي فقط. إنها لعبة خداع، وهم يلعبونها بشكل جيد.
عامل التهديد وتكتيكات التوزيع:
في قلب هذه العملية توجد مجموعة من مجرمي الإنترنت المهرة الذين يعرفون كيفية استغلال فضول الإنسان وثقته. يرسلون رسائل بريد إلكتروني احتيالية تحتوي على مستند Excel المُسلح، متنكرة بذكاء لخداعك للنقر
بمجرد أن تستحوذ على الفكرة، يتم تنشيط الشفرة الضارة المضمنة، وتتصل بعنوان URL مخفي يقوم بتنزيل التهديد الحقيقي - ملف HTA (تطبيق HTML) ضار.
عملية الهجوم:
تتلقى بريدًا إلكترونيًا ودودًا يحتوي على مرفق يشبه التقرير الروتيني. تفتحه، وبهذه الطريقة، تثير سلسلة من ردود الفعل. يستغل ملف Excel ثغرة CVE-2017-0199، ويتم تشغيله كائنات OLE المضمنة التي تصل إلى عنوان URL ضار. فجأة، يتم تنزيل ملف HTA، مما يؤدي إلى تشغيل سلسلة من أوامر PowerShell التي تكون خفية مثل النينجا في الليل.
هذه الأوامر مشوشة ومصممة لتجنب الاكتشاف بواسطة أدوات الأمان. يقومون بتنفيذ VBScript الذي يتنكر كأداة مشروعة ولكنه في الواقع عميل سري، مستعد لإطلاق العنان للحمولة النهائية: ريمكوس RAT. يعمل RAT هذا مباشرة في ذاكرة الكمبيوتر، ويحقن نفسه في ذاكرة شرعية عملية ويندوز (RegASM) وإنشاء موطئ قدم في النظام.
التوصيات:
افحص رسائل البريد الإلكتروني والمرفقات غير المتوقعة، حتى لو بدت غير ضارة.
قم بتحديث البرامج بانتظام لتصحيح الثغرات الأمنية مثل CVE-2017-0199.
استثمر في برامج الأمان ذات السمعة الطيبة التي يمكنها اكتشاف الأنشطة المشبوهة وحظرها.
تساعد إضافة طبقة أمان إضافية على حماية الحسابات من الوصول غير المصرح به.
الاستنتاج:
تعد حملة Remcos RAT بمثابة تذكير صارخ بكيفية تطور التهديدات الإلكترونية دائمًا. عندما يصبح المهاجمون أكثر تعقيدًا، فإن البقاء على اطلاع أمر بالغ الأهمية. ما قد يبدو وكأنه مستند بسيط يمكن أن يكون بوابة لمجرمي الإنترنت لإحداث الفوضى.
تذكر أن اعتماد استراتيجيات أمنية استباقية يساعد في إبقاء المتسللين بعيدًا!!!!!!!
.png)
.png)
.png)