أصدر الباحثون تحذيرًا بشأن حملة بريد عشوائي تستخدم برامج ضارة جاهزة لـ SVCR لاستهداف الضحايا. شوهدت موجة جديدة من هجمات التصيد الاحتيالي تنشر SVCR Ready ، وهو فيروس تم الإبلاغ عنه سابقًا.
في تقرير تقني ، أشار باتريك شلبفر ، محلل التهديدات في HP ، إلى أن “البرامج الضارة مثيرة للاهتمام للطريقة غير التقليدية .
التي تنتقل بها إلى أجهزة الكمبيوتر المستهدفة – باستخدام كود قشرة مدفون في خصائص مستندات Microsoft Office.”
يُزعم أن SVCR جاهز ليكون في مراحله الأولى من التطوير ، حيث قام مصممو البرامج الضارة بتعديله مرارًا وتكرارًا عدة مرات في الشهر السابق. ظهرت أولى علامات الحياة في 22 أبريل 2022.
تستلزم سلاسل العدوى تسليم مرفقات مستندات Microsoft Word مع وحدات ماكرو VBA إلى الأهداف عبر البريد الإلكتروني.
من أجل بدء تسليم الحمولات الضارة.
بدلاً من استخدام PowerShell أو MSHTA لاسترداد البرامج التنفيذية للمرحلة التالية من خادم بعيد .
تستخدم هذه الحملة ماكروًا ينفذ كود قشرة مخفيًا في خصائص المستند ، والذي يقوم بعد ذلك بإسقاط البرامج الضارة الجاهزة لـ SVCR.
البرامج الضارة
تتمتع البرامج الضارة بالقدرة على جمع معلومات النظام ، والتقاط لقطات الشاشة ، وتشغيل أوامر shell ، وتنزيل الملفات العشوائية وتنفيذها ، بالإضافة إلى اكتساب الثبات على المضيف المصاب عبر عملية مجدولة.
في 26 أبريل ، بمجرد اختراق الأجهزة باستخدام SVCReady ، تم تسليم RedLine Stealer كحمولة متابعة في حالة واحدة.
قالت HP إنها وجدت أوجه تشابه بين أسماء ملفات مستندات الإغراء والصور الموجودة في الملفات المستخدمة.
لتوزيع SVCReady وتلك التي تستخدمها مجموعة أخرى تعرف باسم TA551 (المعروف أيضًا باسم Hive0106 أو Shathak) ، لكن ليس من الواضح ما إذا كانت الحملة الأخيرة قيد التنفيذ نفذت من قبل نفس الفاعل التهديد.
“من المعقول أن القطع الأثرية التي نراها قد تركها مهاجمان مختلفان يستخدمان نفس الأدوات” ، كما تكهن شلبفر. “ومع ذلك ، تكشف النتائج التي توصلنا إليها أن الجهات الفاعلة التي تقف وراء حملتي TA551 و SVCReady تستخدم قوالب متطابقة وربما منشئي مستندات.”
اذا وجدت هذه المقالة مثيرة للاهتمام؟ تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره. اذا وجدت هذه المقالة مثيرة للاهتمام؟ تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.