يستخدم المهاجمون الإلكترونيون تقليد Royal Mail لنشر البرمجيات الخبيثة للابتزاز

يوم الأربعاء، نشر باحثو Proofpoint تقريرا يكشف عن حملة سيبرانية تقوم بتقليد البريد البريطاني، رويال ميل، لتوزيع برنامج الفدية Prince.

هذا البرنامج الضار، الذي يتوفر بشكل علني على GitHub، يحمل إخلاء مسؤولية يؤكد أنه مخصص فقط لأغراض تعليمية. ومع ذلك، تم استخدامه في هجوم مستهدف يؤثر على المنظمات في كل من المملكة المتحدة والولايات المتحدة.

بدأ هجوم برنامج الفدية “الأمير” بمحاكاة المهاجمين لـ Royal Mail، باستخدام نماذج الاتصال العامة على مواقع الشركات المستهدفة لإرسال رسائل بريد إلكتروني مضللة. كانت هذه الرسائل تحتوي على ملف PDF مرتبط بملف ZIP مستضاف على Dropbox، مغرياً الضحايا لتنزيله.

داخل ملف ZIP كان هناك ملف ZIP ثاني محمي بكلمة مرور، بالإضافة إلى ملف نصي يكشف عن كلمة المرور، مما خلق إحساسًا كاذبًا بالأمان للضحايا.

بمجرد الفتح، قام ملف الاختصار بتنفيذ كود JavaScript المشفر الذي أنشأ عدة ملفات في الدليل المؤقت للنظام. استخدم هذا الكود سكربتات PowerShell لتجاوز التدابير الأمنية وإنشاء الاستمرارية، حيث كان يعمل كل 20 دقيقة بينما كان الكمبيوتر في وضع الخمول.

عند تنفيذ الفدية، قام بتشفير ملفات الضحايا بامتداد “.womp” وعرض شاشة تحديث وهمية لنظام Windows لإخفاء نشاطه الخبيث.

كانت رسالة الفدية على سطح المكتب تطالب بدفع 0.007 بيتكوين (حوالي 400 دولار) مقابل فك التشفير. ولكن، أظهرت التحليل أن برنامج الفدية لم يكن يمتلك آلية لفك التشفير أو القدرة على استخراج البيانات، مما يشير إلى أنه تم تصميمه للتدمير بدلاً من الربح.

بشكل حاسم، لا توجد آليات لفك التشفير أو القدرات لاستخراج البيانات في هذه الحملة، مما يجعلها أكثر تدميراً من برامج الفدية النمطية. يشير عدم وجود معرفات فريدة في ترميز برنامج الفدية إلى أنه حتى لو دفع الضحايا الفدية، ليس هناك ضمان لاستعادة الملفات.

لم تعز الشركة Proofpoint هذا النشاط الخبيث إلى أي ممثل تهديد معين. يسمح الطابع المفتوح المصدر لبرنامج الفدية Prince لمختلف الأطراف بتعديله ونشره بحرية. المبتكر، المعروف باسم SecDbg، يقدم بصفة علنية تعديلات لتجاوز الإجراءات الأمنية، مما يعقد جهود التعزية أكثر وأكثر.

تبرز هذه الحادثة التطورات المستمرة في مشهد تهديدات برنامج الفدية. على الرغم من أن مثل هذه الهجمات عادة ما لا تنطلق مباشرة من البريد الإلكتروني، إلا أن استخدام نماذج الاتصال كوسيلة للتوصيل يعكس اتجاهاً أوسع.

هذا يثير القلق بشكل خاص حيث تتم تقليد خدمات البريد مثل Royal Mail و UPS و FedEx بانتظام من قبل الأطراف الخبيثة. غالبًا ما يتلقى العملاء مكالمات هاتفية ورسائل نصية ورسائل بريد إلكتروني مزيفة تبدو وكأنها اتصالات رسمية ولكنها في الحقيقة عمليات احتيال، كما أشار The Record.

لمساعدة في مكافحة هذه المشكلة، تقدم Royal Mail قائمة مفيدة بأمثلة مشتركة على عمليات الاحتيال التي تستغل علامتهم التجارية.

يتم تشجيع المنظمات على تدريب موظفيها على التعرف على الرسائل الاشتباه والإبلاغ عن أي شذوذ لفرق الأمن الداخلية. مع تزايد تعقيد التهديدات الإلكترونية، تصبح اليقظة والتعليم عنصرين أساسيين في منع الخروقات المحتملة.