Image by Brett Jordan, from Unsplash
رسائل البريد الإلكتروني المزيفة للوظائف تُستخدم لنشر البرنامج الخبيث BeaverTail
وقت القراءة: 2 دقائق
آخر التحديثات: Apr 7, 2025
-
![كيارا فابري]()
-
![فريق الترجمة والتوطين]()
ترجمة فريق الترجمة والتوطين خدمات الترجمة والتوطين
يستهدف هجوم سيبراني جديد الباحثين عن وظائف من خلال استخدام رسائل توظيف مزيفة لنشر البرامج الضارة المتنكرة على أنها ملفات مطور غير ضارة.
في عجلة من أمرك؟ ها هي الحقائق السريعة:
- قام القراصنة بتقليد المجندين لنشر البرامج الخبيثة عبر مشاريع المطورين الوهمية.
- استخدم المهاجمون روابط BitBucket لخداع الضحايا وجعلهم يقومون بتنزيل الملفات.
- يمكن أن يسرق الباب الخلفي Tropidoor البيانات، ويأخذ لقطات الشاشة، ويقوم بتشغيل الأوامر.
يشرح خبراء الأمن السيبراني في ASEC، الذين كشفوا عن هذا البرنامج الضار أولاً، أن هذه الحادثة تمثل استراتيجية متزايدة حيث يتنكرون المهاجمين على أنهم إما مجندين أو أعضاء في مجتمعات المطورين.
ظهرت الحادثة لأول مرة في 29 نوفمبر 2024 عندما استخدم القراصنة هوية Dev.to للتظاهر بأنهم مطوري المنصة.
أرسل المهاجمون رسائل بريد إلكتروني تحتوي على روابط مستودعات الكود الخاصة بـ BitBucket والتي طلبوا من المستخدمين مراجعة المشروع. كانت ملفات المشروع تحتوي على برامج ضارة مخفية تم تنكيرها كملفات مشروع عادية.
تضمنت الملفات المزيفة خطرين رئيسيين: برمجية خبيثة تعتمد على JavaScript تدعى BeaverTail، متنكرة تحت اسم ملف “tailwind.config.js”، ومكون ثاني يُدعى car.dll، الذي يعمل كجهاز تنزيل. عند فتحها، تعمل هذه الملفات معًا على سرقة تفاصيل تسجيل الدخول، وبيانات المتصفح، وحتى معلومات محفظة العملات المشفرة.
“يُعرف أن BeaverTail يتم توزيعه في الغالب في هجمات الاحتيال المتنكرة على هيئة عروض عمل”، كما أوضح الباحثون في ASEC. لقد تم رصد الإصدارات السابقة من هذا الهجوم على منصات مثل LinkedIn.
تشكل البرامج الخبيثة تهديداً كبيراً لأنها تخفي هدفها الحقيقي من خلال تقليد عمليات النظام القياسية. تستخدم البرامج الخبيثة أدوات PowerShell و rundll32 ، والتي هي أدوات اساسية في نظام ويندوز، لتجنب الكشف عنها من قبل برامج مكافحة الفيروسات.
بعد اختراق النظام، تسترجع البرامج الخبيثة وتنفذ Tropidoor الذي يعمل كباب خلفي متقدم. ينشئ الأداة اتصالات مشفرة مع خوادم بعيدة أثناء تنفيذ أكثر من 20 أمرًا مختلفًا تشمل حذف الملفات وحقن رمز البرنامج والتقاط لقطات الشاشة.
“تقوم Tropidoor بجمع المعلومات الأساسية للنظام وتوليد مفتاح عشوائي بطول 0x20 بايت، والذي يتم تشفيره بواسطة مفتاح RSA عام”، هكذا قال الباحثون. تتيح هذه الاتصالات الآمنة للقراصنة التحكم في الأجهزة المصابة دون أن يلاحظ أحد.
تحث فرق الأمن الجميع على البقاء في حالة يقظة تامة في هذا الوقت. كن حذرًا من رسائل التوظيف غير المتوقعة، خاصة تلك التي تحتوي على روابط إلى مستودعات الأكواد أو تلك التي تطلب منك تنزيل ملفات المشروع. تحقق دائمًا من الشركة الرسمية قبل فتح أي محتوى.
القصة السابقة
أحدث المقالات 
اترك تعليقًا
إلغاء