تم مؤخرًا اكتشاف برنامج ضار لسرقة المعلومات يسمى Lumma Stealer، ويتم توزيعه على المستخدمين عبر صفحات التحقق من الهوية البشرية المزيفة. ووفقًا للباحثين في شركة CloudSEK للأمن السيبراني، فإن البرنامج الضار يستهدف أجهزة Windows وهو مصمم لسرقة معلومات حساسة من الجهاز المصاب. ومن المثير للقلق أن الباحثين اكتشفوا مواقع تصيد متعددة تنشر صفحات التحقق المزيفة هذه لخداع المستخدمين وحملهم على تنزيل البرنامج الضار. وحذر باحثو CloudSEK المؤسسات من تنفيذ حلول حماية نقاط النهاية وتدريب الموظفين والمستخدمين على هذا التكتيك الهندسي الاجتماعي الجديد.
انتشار البرمجيات الخبيثة Lumma Stealer باستخدام تقنية التصيد الاحتيالي الجديدة
وفقًا لـ CloudSEK تقريرتم اكتشاف أن العديد من المواقع النشطة تنشر البرامج الضارة Lumma Stealer. تم اكتشاف هذه التقنية لأول مرة تم اكتشافه وقد بدأ هذا المشروع في عام 2011، بواسطة Unit42 في Palo Alto Networks، وهي شركة للأمن السيبراني، ولكن يُعتقد الآن أن نطاق سلسلة التوزيع أكبر بكثير مما كان يُعتقد سابقًا.
قام المهاجمون بإنشاء مواقع ويب ضارة مختلفة وأضافوا نظامًا وهميًا للتحقق من هوية الإنسان، يشبه صفحة اختبار تورينج العام الآلي بالكامل من Google للتمييز بين الكمبيوتر والإنسان (CAPTCHA). ومع ذلك، على عكس صفحة CAPTCHA العادية حيث يتعين على المستخدمين تحديد بعض المربعات أو تنفيذ مهام مماثلة تعتمد على الأنماط لإثبات أنهم ليسوا روبوتًا، فإن الصفحات المزيفة تطلب من المستخدم تشغيل بعض الأوامر غير المعتادة.
في إحدى الحالات، اكتشف الباحثون صفحة تحقق مزيفة تطلب من المستخدمين تنفيذ نص برمجي لبرنامج PowerShell. تحتوي نصوص PowerShell على سلسلة من الأوامر التي يمكن تنفيذها في مربع الحوار “تشغيل”. في هذه الحالة، وجد الباحثون أن الأوامر تقوم بجلب المحتوى من ملف a.txt المستضاف على خادم بعيد. أدى هذا إلى تنزيل ملف واستخراجه على نظام Windows، وإصابته بفيروس Lumma Stealer.
كما ذكر التقرير عناوين URL الضارة التي تم رصدها وهي توزع البرامج الضارة على المستخدمين غير المطلعين. ومع ذلك، هذه ليست القائمة الكاملة وقد يكون هناك المزيد من المواقع التي تنفذ الهجوم.
- هكسبس[://]الجني البطولي 2b372e[.]نتليفاي[.]التطبيق/الرجاء-التحقق-من-z[.]إتش تي إم إل
- هكسبس[://]فيبيدسلاونجوس[.]ب-سي دي إن[.]net/يرجى التحقق[.]إتش تي إم إل
- هكسبس[://]sdkjhfdskjnck[.]S3[.]أمازوناوز[.]com/human-verify-system[.]إتش تي إم إل
- هكسبس[://]التحقق من صحة الإنسان476[.]ب-سي دي إن[.]الشبكة/نظام التحقق البشري[.]إتش تي إم إل
- هكسبس[://]حانة-9c4ec7f3f95c448b85e464d2b533aac1[.]ص2[.]تطوير/تحقق-النظام-البشري[.]إتش تي إم إل
- هكسبس[://]التحقق من صحة الإنسان476[.]ب-سي دي إن[.]الشبكة/نظام التحقق البشري[.]إتش تي إم إل
- هكسبس[://]newvideozones[.]النقرات/صحيح[.]إتش تي إم إل
- هكسبس[://]الفصل 3[.]دلفيديوس فري[.]انقر/تحقق من النظام البشري[.]إتش تي إم إل
- هكسبس[://]newvideozones[.]النقرات/صحيح[.]إتش تي إم إل
- هكسبس[://]أوفستفيديوفري[.]انقر
كما لاحظ الباحثون أن شبكات توصيل المحتوى (CDNs) كانت تُستخدم لنشر صفحات التحقق المزيفة هذه. وعلاوة على ذلك، تم رصد المهاجمين وهم يستخدمون تشفير base64 والتلاعب بالحافظة للتهرب من العرض. ومن الممكن أيضًا توزيع برامج ضارة أخرى باستخدام نفس التقنية، على الرغم من عدم رؤية مثل هذه الحالات حتى الآن.
نظرًا لأن أسلوب عمل الهجوم يعتمد على تقنيات التصيد الاحتيالي، فلا يمكن لأي تصحيح أمني منع إصابة الأجهزة. ومع ذلك، هناك بعض الخطوات التي يمكن للمستخدمين والمؤسسات اتخاذها للحماية من البرامج الضارة التي تسرق البيانات من Lumma.
وفقًا للتقرير، يجب تنبيه المستخدمين والموظفين إلى هذا التكتيك الاحتيالي لمساعدتهم على عدم الوقوع فيه. بالإضافة إلى ذلك، يجب على المؤسسات تنفيذ وصيانة حلول حماية موثوقة لنقاط النهاية للكشف عن الهجمات المستندة إلى PowerShell وحظرها. علاوة على ذلك، من المفيد أيضًا تحديث الأنظمة وإصلاحها بانتظام لتقليل الثغرات الأمنية التي يمكن أن يستغلها برنامج Lumma Stealer الخبيث.
للحصول على أحدث الأخبار والمراجعات التقنية، تابع Gadgets 360 على إكس, فيسبوك, واتساب, الخيوط و أخبار جوجلللحصول على أحدث مقاطع الفيديو حول الأدوات والتقنيات، اشترك في قناتنا قناة اليوتيوبإذا كنت تريد معرفة كل شيء عن كبار المؤثرين، فاتبع موقعنا الإلكتروني من هو360 على انستجرام و يوتيوب.
قد يتوفر Moto G85 5G قريبًا في خيارين جديدين للألوان في الهند
