كشفت تقارير حديثة عن حملة تصيد إلكتروني خطيرة تستهدف الشركات الناطقة بالفرنسية، حيث يستخدم المهاجمون سيرًا ذاتية مزيفة لسرقة بيانات الاعتماد ونشر برمجيات تعدين العملات الرقمية. وفقاً لتحليلات تيكبامين، تستغل الحملة خدمات شرعية مثل Dropbox لإخفاء أنشطتها الخبيثة.
كيف تعمل حملة FAUX#ELEVATE الخبيثة؟
أطلق باحثو الأمن السيبراني اسم "FAUX#ELEVATE" على هذه الحملة، التي تتميز باستخدامها أساليب متطورة للتخفي واختراق الأنظمة الأمنية. تعتمد الحملة على ملفات VBScript مبهرة للغاية ومتخفية في هيئة مستندات سيرة ذاتية.
- استخدام ملفات VBScript بحجم 9.7 ميجابايت
- 224,471 سطرًا منها 266 سطرًا فقط تحتوي على كود تنفيذي
- رسائل خطأ فرنسية مزيفة لتضليل الضحايا
- التحقق من بيئة الشبكة لاستهداف المؤسسات فقط
آلية التخفي والاختراق
عند فتح الملف المرفق، يظهر رسالة خطأ باللغة الفرنسية توحي بأن الملف تالف، لكن في الخلفية يعمل الكود الخبيث على:
- التحقق من وجود بيئة مؤسسية عبر WMI
- طلب صلاحيات المسؤول عبر حلقة UAC المستمرة
- تعطيل ضوابط الأمان في Microsoft Defender
- حذف نفسه لإخفاء الآثار
ما هي الأدوات الخبيثة المستخدمة؟
بعد الحصول على صلاحيات المسؤول، يقوم البرمجية الخبيثة بتنزيل أرشيفات 7-Zip محمية بكلمة مرور من Dropbox، وتحتوي على مجموعة متكاملة من الأدوات:
- ChromElevator: لاستخراج البيانات من متصفحات Chromium
- أداة سرقة البيانات: لجمع كلمات المرور والملفات الحساسة
- عامل تعدين مونيرو: لاستغلال موارد الجهاز
تستخدم الحملة بنية تحتية شرعية لإخفاء أنشطتها، بما في ذلك مواقع ووردبريس مغربية لاستضافة تكوينات C2، وبنية SMTP الخاصة بـ mail.ru لتسريب البيانات المسروقة.
كيف تحمي مؤسستك من هذا الهجوم؟
يؤكد خبراء تيكبامين أن هذه الحملة تمثل مثالًا كلاسيكيًا على هجمات "Living-off-the-Land" التي تستخدم أدوات نظام شرعية لتجنب الكشف. للحماية من مثل هذه الهجمات:
- تجنب فتح مرفقات البريد الإلكتروني غير الموثوقة
- التحقق من هوية مرسلي السير الذاتية قبل فتح الملفات
- تحديث برامج الحماية بانتظام
- تثبيت التحديثات الأمنية لنظام Windows
تظهر هذه الحملة تطورًا خطيرًا في تكتيكات المهاجمين الذين يستغلون الثقة في المستندات المهنية لاختراق المؤسسات. يجب على الشركات تعزيز الوعي الأمني للموظفين وتفعيل أنظمة الكشف المتقدمة لمواجهة هذه التهديدات المتطورة.
