الهاكرز يخفون البرامج الخبيثة كملفات شاشات التوقف في هجوم بريدي إلكتروني مزيف حول الشحن

كشفت شركة Symantec، المتخصصة في أمن المعلومات، عن حملة احتيال عبر البريد الإلكتروني تستهدف الصناعات في أنحاء آسيا وأوروبا والولايات المتحدة، حيث تستخدم رسائل الشحن المزيفة وملفات شاشة التوقف المتنكرة لإصابة الضحايا ببرامج الفدية الخبيثة.

يتظاهر المهاجمون بأنهم شركة نقل ولوجستيات تايوانية كبرى ويبعثون بريدًا إلكترونيًا مزعجًا باللغة الصينية يبدو وكأنه تحديثات شحن حقيقية. يتضمن سطر الموضوع معلومات تفصيلية عن الشحن، مشيرًا إلى إجراءات الجمارك من كاوهسيونغ إلى أتلانتا في 7 أبريل.

يُطلب من المستلمين بعد ذلك التحقق من وثائق الشحن مثل ISF وقائمة التعبئة والفاتورة. بداخلها ملف ضار مُقنع على أنه شاشة توقف لنظام ويندوز (.SCR). عند النقر عليه، يقوم بتثبيت برنامج تحميل البرامج الضارة المعروف باسم ModiLoader بصمت.

GBHackers تلاحظ أن ModiLoader هو تهديد معروف يقوم بتنزيل وتثبيت أدوات الوصول عن بُعد وبرامج البرمجيات الضارة لسرقة المعلومات. أفادت Symantec أنه تم استخدامه لإسقاط برامج البرمجيات الضارة مثل Remcos و Agent Tesla و MassLogger و AsyncRAT و Formbook.

“بينما قد يظهرون غير ضارين، فهم في الأساس برامج قابلة للتنفيذ ولكن بامتداد ملف مختلف. بمجرد تنفيذ هذه الملفات، يمكنها أن تقوم بأي عملية يمكن للبرنامج القابل للتنفيذ أن يقوم بها – مثل تثبيت الأحمال البرمجية، الأبواب الخلفية، مفاتيح التسجيل، أو البرامج الخبيثة. حتى اليوم، لا يزالون يستخدمون بشكل كبير في سلاسل الهجمات”، حذرت شركة سيمانتك.

لقد أثرت الحملة على قطاعات متعددة بما في ذلك السيارات، الإلكترونيات، النشر، البث، والتصنيع، وتقع الضحايا في دول مثل اليابان، المملكة المتحدة، السويد، الولايات المتحدة، هونغ كونغ، تايوان، تايلاند، وماليزيا.

تكافح شركة Symantec التهديد باستخدام مجموعة متنوعة من الحمايات بما في ذلك التعلم الآلي، وفحص الملفات، وتصفية البريد الإلكتروني، وأمان نقاط النهاية Carbon Black. تم تعليم البرامج الضارة تحت أسماء متعددة بما في ذلك Trojan.Gen.MBT و Scr.Malcode!gen19.

يحث الخبراء الشركات على تثقيف الموظفين حول الرسائل الإلكترونية المشبوهة.