حملة تصيد تستهدف الهند ببرمجية Blackmoon الخبيثة

كشف باحثون أمنيون عن حملة تجسس إلكتروني جديدة وخطيرة تستهدف المستخدمين في الهند، حيث تعتمد على رسائل تصيد بريدية تنتحل صفة جهات رسمية لنشر برمجيات خبيثة متطورة تتيح للمهاجمين السيطرة على الأجهزة وسرقة البيانات الحساسة.

كيف تعمل حملة التصيد الجديدة؟

وفقاً للتحليلات الأمنية الأخيرة التي تابعها فريق تيكبامين، تعتمد الحملة على إرسال رسائل بريد إلكتروني مزيفة تنتحل صفة "دائرة ضريبة الدخل" في الهند. تهدف هذه الرسائل إلى خداع الضحايا لتحميل ملف مضغوط خبيث، مما يمنح المهاجمين وصولاً دائماً لأجهزة الضحايا.

تتميز هذه الهجمة باستخدام أدوات معقدة تشمل:

• نشر متغير من طروادة المصرفية المعروفة باسم Blackmoon (أو KRBanker).
• استغلال أداة مؤسسية شرعية تسمى SyncFuture TSM لتنفيذ أغراض تجسسية.
• تحويل الأداة الشرعية إلى إطار عمل للتجسس الشامل ومراقبة نشاط الضحية.

ما هي آلية اختراق الأنظمة في هذه الهجمة؟

يبدأ الهجوم عندما يقوم المستخدم بفتح الملف المضغوط (ZIP) المرفق في رسائل الغرامات الضريبية المزيفة. يحتوي هذا الملف على عدة ملفات مخفية وملف تنفيذي واحد يظهر للمستخدم، ويعمل هذا الملف على تحميل مكتبة برمجية خبيثة (DLL) تقوم بالخطوات التالية:

• التحقق من وجود بيئة تصحيح الأخطاء (Debugger) لتجنب التحليل الأمني.
• الاتصال بخادم خارجي لجلب المرحلة التالية من الهجوم.
• استخدام تقنيات متقدمة لتجاوز نظام التحكم في حساب المستخدم (UAC) والحصول على صلاحيات إدارية.
• تعديل بيئة التشغيل للتخفي والظهور كعملية ويندوز شرعية (explorer.exe).

ويشير خبراء الأمن الرقمي في تيكبامين إلى أن هذه البرمجية تظهر تعقيداً عالياً في أساليب التخفي والبقاء داخل النظام المصاب لفترات طويلة دون اكتشافها.

كيف تتجاوز البرمجية برامج الحماية؟

من أبرز ميزات هذه الحملة قدرتها على التعامل مع برامج مكافحة الفيروسات، وتحديداً برنامج Avast المجاني. حيث تقوم البرمجية بالتحقق من وجود عملية "AvastUI.exe"، وإذا تم اكتشافها، تبدأ في تنفيذ سيناريو خبيث يعتمد على محاكاة حركة الفأرة:

• تقوم البرمجية بمحاكاة نقرات الفأرة للتنقل داخل واجهة Avast.
• تضيف الملفات الخبيثة إلى قائمة الاستثناءات في البرنامج.
• يتم ذلك دون تعطيل محرك مكافحة الفيروسات بالكامل لتجنب إثارة الشكوك.

تعد برمجية Blackmoon من العائلات البرمجية المعروفة التي ظهرت لأول مرة في عام 2015، وقد استهدفت سابقاً مؤسسات في كوريا الجنوبية والولايات المتحدة وكندا، مما يؤكد خطورة عودتها في هذه الحملة الجديدة.