كشف باحثو الأمن الرقمي عن حملة تصيد جديدة وخطيرة تستهدف مستخدمي منصة التواصل المهني لينكد إن، حيث يستغل القراصنة الرسائل الخاصة لنشر برمجيات خبيثة تهدف للسيطرة على الأجهزة عن بعد وسرقة البيانات الحساسة.
كيف يتم تنفيذ الهجوم عبر لينكد إن؟
تعتمد هذه الهجمات بشكل أساسي على الهندسة الاجتماعية، حيث يبدأ المهاجمون بالتواصل مع شخصيات مستهدفة عبر رسائل لينكد إن لبناء الثقة قبل خداعهم لتحميل ملفات تبدو بريئة.
وفقاً للتحليلات الأمنية، يتم إرسال أرشيف ذاتي الاستخراج (WinRAR SFX) يحتوي على ملفات ملغمة. وبمجرد قيام الضحية بفتح الملف، يتم استخراج المكونات الضارة تلقائياً لتبدأ عملية الاختراق المعقدة.
مراحل الإصابة بالبرمجية الخبيثة:
- يقوم المستخدم بتشغيل ملف يبدو كتطبيق شرعي (مثل قارئ PDF).
- يتم تفعيل البرمجية الخبيثة باستخدام تقنية تسمى DLL Sideloading.
- يتم تثبيت أدوات اختراق مفتوحة المصدر للتحكم في الجهاز.
ما هي تقنية DLL Sideloading ولماذا هي خطيرة؟
تُعد تقنية تحميل ملفات الارتباط الديناميكي الجانبية (DLL Sideloading) واحدة من أخطر الأساليب التي يعتمد عليها القراصنة حالياً لتجاوز برامج مكافحة الفيروسات.
في هذه الحملة التي تابعها فريق تيكبامين، يستخدم المهاجمون ملف DLL خبيث يتم تحميله بواسطة تطبيق شرعي وموثوق، مما يخدع النظام الأمني للجهاز ويجعله يعتقد أن النشاط طبيعي.
آلية عمل البرمجية داخل النظام:
- إسقاط مفسر بايثون (Python interpreter) داخل النظام.
- إنشاء مفتاح تسجيل (Registry Run key) لضمان عمل البرمجية تلقائياً عند كل تسجيل دخول.
- تنفيذ أكواد برمجية مشفرة (Base64) مباشرة في الذاكرة لتجنب ترك أي أثر على القرص الصلب.
أهداف الحملة وتوصيات الحماية
تهدف هذه الهجمات في النهاية إلى منح المهاجمين وصولاً دائماً وعن بعد (RAT) للأجهزة المخترقة، مما يسمح لهم بسرقة البيانات السرية، والتحرك بحرية داخل الشبكات المؤسسية، ورفع الصلاحيات للوصول إلى معلومات أكثر حساسية.
ويشير خبراء الأمن السيبراني إلى أن هذه الحملة واسعة النطاق وتستغل الفجوة الأمنية في مراقبة منصات التواصل الاجتماعي مقارنة بالبريد الإلكتروني التقليدي.
ننصح في موقع تيكبامين بضرورة الحذر الشديد عند التعامل مع الملفات المرسلة عبر الرسائل الخاصة في لينكد إن، حتى لو كانت من حسابات تبدو موثوقة، وضرورة تحديث برامج الحماية بشكل دوري لكشف هذا النوع من السلوكيات المشبوهة.
