كشفت تقارير حديثة رصدتها تيكبامين عن حملة تصيد احتيالي معقدة تقودها مجموعة التسلل الكورية الشمالية ScarCruft، حيث تستخدم رسائل أمنية مزيفة من مايكروسوفت لنشر برمجية NarwhalRAT المتطورة.
كيف يتم اختراق حسابات مايكروسوفت عبر هذه الرسائل؟
تعتمد المجموعة المخترقة، المعروفة أيضاً باسم APT37، على إرسال رسائل بريد إلكتروني تنتحل صفة تنبيهات أمنية من حسابات مايكروسوفت (Microsoft Account). تهدف هذه الرسائل إلى إثارة القلق لدى الضحية من خلال الادعاء بوجود نشاط غير طبيعي أو محاولات اختراق لكلمات المرور لمرة واحدة (OTP).
وفقاً لتقرير تيكبامين، تقوم الرسالة بحثّ المستخدم على التحقق من مرفق يدعي أنه استشارة أمنية، ولكن في الواقع، هذا المرفق هو أرشيف ZIP يحتوي على ملف LNK خبيث. بمجرد قيام المستخدم بفتح هذا الملف، تبدأ سلسلة من العمليات البرمجية التي تؤدي في النهاية إلى تثبيت برمجية NarwhalRAT في ذاكرة الجهاز.
ما هي قدرات برمجية NarwhalRAT الخبيثة؟
تعتبر NarwhalRAT تطوراً خطيراً في ترسانة مجموعة ScarCruft، حيث تعتمد على لغة البرمجة "بايثون" وتتمتع بقدرات تجسسية واسعة النطاق. إليك أبرز ما يمكن لهذه البرمجية القيام به:
- تسجيل الضربات على لوحة المفاتيح (Keystroke Logging).
- التقاط صور لشاشة الجهاز بدقة عالية الجودة.
- تسجيل الأصوات المحيطة بالجهاز عبر الميكروفون.
- رفع محتويات المجلدات والملفات إلى خوادم المخترقين.
- جمع تفاصيل النوافذ النشطة وبيانات وسائط USB المتصلة.
- تنفيذ الأوامر الصادرة من خوادم القيادة والسيطرة (C2).
آليات التخفي والهروب من الاكتشاف
أوضح خبراء الأمن الرقمي أن اسم NarwhalRAT يعود إلى المجلد المخفي الذي تستخدمه البرمجية لتخزين البيانات المسروقة قبل إرسالها. تحاول البرمجية التخفي عبر استخدام اسم مجلد يشبه متصفح "Naver Whale" الكوري الجنوبي الشهير لتضليل برامج الحماية.
يعد استخدام هذه البرمجية تحولاً ملحوظاً للمجموعة التي كانت تعتمد سابقاً وبشكل حصري على عائلة RokRAT من البرمجيات الخبيثة. هذا التغيير يشير إلى رغبة المخترقين في تحديث أدواتهم لتجاوز آليات الدفاع الحديثة التي قد تكون قد تعرفت على الأنماط القديمة.
كيف تحمي نفسك من هجمات الأمن الرقمي المتطورة؟
لحماية حساباتك وأجهزتك من هذه التهديدات المتطورة، تنصح تيكبامين بضرورة اتباع إجراءات وقائية صارمة، خاصة عند التعامل مع رسائل البريد الإلكتروني التي تدعي أنها من جهات رسمية:
- عدم تحميل أو فتح ملفات من مصادر غير موثوقة حتى لو بدت رسمية.
- تفعيل المصادقة الثنائية (2FA) عبر تطبيقات المصادقة المتخصصة.
- تحديث نظام التشغيل والبرامج بشكل دوري لسد الثغرات الأمنية.
- استخدام برامج مكافحة فيروسات قوية قادرة على رصد التهديدات في الذاكرة.
في الختام، يظل الوعي هو خط الدفاع الأول في عالم الأمن الرقمي. إن تجاهل الرسائل التي تخلق شعوراً زائفاً بالاستعجال وفحص الروابط والمرفقات بدقة يمكن أن يجنبك الوقوع ضحية لبرمجيات التجسس المتطورة مثل NarwhalRAT التي تستهدف اختراق حسابات مايكروسوفت.
