مستند Microsoft Word

حملة تصيد متقدمة تستخدم مستند Microsoft Word لتوزيع Agent Tesla و OriginBotnet و RedLine Clipper.

حملة تصيد متقدمة تستخدم مستند Microsoft Word لتوزيع Agent Tesla و OriginBotnet و RedLine Clipper. تستخدم حملة تصيد متقدمة مستند Microsoft Word كطعم لتوزيع مجموعة من التهديدات. وهي Agent Tesla و OriginBotnet و RedLine Clipper، لجمع مجموعة واسعة من المعلومات من أجهزة Windows المصابة.

قال الباحث في Fortinet FortiGuard Labs Cara Lin: “تقوم بريد إلكتروني تصيدي بتسليم مستند Word ك attachment. ويعرض صورة ضبابية و reCAPTCHA مزيفة لإغراء المستلم بالنقر عليها.”

يؤدي النقر على الصورة إلى تسليم loader من خادم بعيد، والذي بدوره مصمم لتوزيع OriginBotnet لتسجيل المفاتيح و استعادة كلمة المرور. و RedLine Clipper لسرقة cryptocurrency. و Agent Tesla لحصاد المعلومات الحساسة.

ال loader. المكتوب بـ .NET. يستخدم تقنية تسمى الحشو الثنائي عن طريق إضافة بايتات خالية لزيادة حجم الملف إلى 400 ميجابايت في محاولة للتهرب من detection من قبل برامج الأمان.

كما يؤدي تنشيط loader إلى عملية متعددة المراحل لإنشاء persistence على المضيف واستخراج مكتبة الارتباط الديناميكي (DLL) المسؤولة عن إطلاق payloads النهائية.

ملف تنفيذي cryptocurrency.

من بينها RedLine Clipper. وهو ملف تنفيذي .NET لسرقة cryptocurrency عن طريق العبث بحافظة النظام الخاصة بالمستخدم ليحل محل عنوان محفظة الوجهة بواحد controlled من المهاجم.

قال لين: “للتنفيذ هذه العملية، بينما. يستخدم RedLine Clipper ‘OnClipboardChangeEventHandler’ لمراقبة تغييرات الحافظة بشكل منتظم والتحقق مما إذا كانت السلسلة المنسوخة تتوافق مع التعبير العادي.”

Agent Tesla. من ناحية أخرى. هو .NET-based remote access trojan (RAT) و data stealer لكسب الوصول الأولي و exfiltrating المعلومات الحساسة مثل keystrokes و login credentials المستخدمة في web browsers إلى command-and-control (C2) server over SMTP protocol.

كما. يتم أيضًا تسليم malware جديد يُدعى OriginBotnet، والذي يجمع مجموعة واسعة من الميزات لجمع البيانات وإنشاء اتصالات مع خادم C2 الخاص به وتحميل plugins تكميلية من الخادم لتنفيذ وظائف تسجيل المفاتيح أو استعادة كلمة المرور على endpoints المصابة.

قال لين: “تسترجع و تنظم plugin PasswordRecovery Credentials لحسابات مختلفة من المتصفحات والبرامج. يسجل هذه النتائج ويرسلها عبر طلبات POST HTTP.”

من الجدير بالذكر أن Palo Alto Networks Unit 42. في سبتمبر 2022. فصّلت عن خليفة Agent Tesla يسمى OriginLogger. والذي يأتي مع ميزات مماثلة لتلك الخاصة بـ OriginBotnet. مما يشير إلى أنهما قد يكونان كلاهما من عمل نفس threat actor.

في النهاية قال Fortinet: “شاركت هذه الحملة cyberattack في سلسلة معقدة من الأحداث. بدأت بملف Word ضار يتم توزيعه عبر رسائل البريد الإلكتروني التصيدية. مما أدى إلى قيام الضحايا بتنزيل loader الذي نفذ سلسلة من payloads malware. أظهر الهجوم تقنيات متطورة للتهرب من detection و الحفاظ على persistence على الأنظمة المصابة.”

حملة تصيد متقدمة تستخدم مستند Microsoft Word لتوزيع Agent Tesla و OriginBotnet و RedLine Clipper. تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

اختار العملة
يستخدم هذا الموقع ملفات تعريف الارتباط (الكوكيز) ليقدم لك تجربة تصفح أفضل. من خلال تصفح هذا الموقع ، فإنك توافق على استخدامنا لملفات تعريف الارتباط.