هل تريد نشرة يومية مجانية مخصصة؟ اختر فقط المواضيع التي تهمك ووفّر وقتك.

هجوم DcRAT يستهدف دافعي الضرائب في الهند

ملخص للمقال
  • هجوم DcRAT يستهدف دافعي الضرائب في الهند عبر حملة تصيد متعددة المراحل، صُممت خصيصاً لموسم الإقرارات الضريبية لرفع معدلات الاختراق وسرقة البيانات الحساسة.
  • التحذيرات الأمنية تؤكد أن هجوم DcRAT يلاحق الأفراد ومستشاري الضرائب وفرق المالية، مستغلاً رسائل تبدو رسمية حول مخالفات ضريبية وغرامات عاجلة لإجبار الضحية على التفاعل.
  • تبدأ العملية برسالة بريد إلكتروني موجهة تحتوي ملف PDF خبيثاً، ثم رابطاً إلى صفحة مزيفة تطلب تنزيل ملف ZIP باعتباره أداة إقرار ضريبي رسمية.
  • الملف المضغوط لا يحمل أداة ضرائب شرعية، بل يفعّل برمجية وصول عن بعد DcRAT داخل ويندوز، ما يمنح المهاجمين تحكماً بالجهاز وسرقة الملفات وبيانات الاعتماد.
  • تقنياً، يعتمد هجوم DcRAT على تحميل جانبي وإخفاء التنفيذ داخل ملفات تبدو موثوقة، وهو أسلوب أكثر إقناعاً وخطورة من الروابط التنفيذية المباشرة المستخدمة سابقاً.
  • التأثير المتوقع على دافعي الضرائب في الهند يشمل تسريب بيانات مالية وحسابات حساسة، مع احتمال تصاعد حملات مشابهة مستقبلاً بالتزامن مع المواسم الضريبية الرسمية.
هل تريد نشرة يومية مجانية مخصصة؟ اختر اهتماماتك هنا
هجوم DcRAT يستهدف دافعي الضرائب في الهند
محتوى المقال
جاري التحميل...

هجوم DcRAT جديد يستهدف دافعي الضرائب في الهند عبر أداة إقرار مزيفة، مع رسائل تصيد دقيقة تهدد بسرقة بيانات حساسة.

ما هو هجوم DcRAT الذي يستهدف دافعي الضرائب في الهند؟

كشفت تحليلات أمنية عن حملة هجومية متعددة المراحل تستهدف الأفراد، خبراء الضرائب، وفرق الشؤون المالية داخل الشركات في الهند. الهدف النهائي هو زرع برمجية وصول عن بعد تسمح للمهاجمين بالتحكم بالجهاز وسرقة الملفات والبيانات الحساسة.

اللافت أن العملية لا تبدو عشوائية، بل صُممت بعناية لتتزامن مع موسم تقديم الإقرارات الضريبية السنوي. هذا التوقيت يمنح الرسائل الاحتيالية فرصة أكبر للنجاح، لأن المستخدمين يتوقعون بالفعل مراسلات مرتبطة بالضرائب.

كيف تبدأ عملية التصيد عبر رسائل الضرائب المزيفة؟

رسائل تبدو رسمية وتستغل عامل الخوف

تعتمد الحملة على رسائل تصيد موجهة تنتحل صفة جهة الضرائب الهندية، وتستخدم مزاعم مثل مخالفات ضريبية أو غرامات مالية لإجبار الضحية على التصرف بسرعة. وبدلاً من ملف تنفيذي مباشر، تحتوي الرسائل على ملف PDF يتضمن رابطاً خبيثاً.

عند الضغط على الرابط، يصل المستخدم إلى صفحة هبوط مزيفة تطلب منه تنزيل ملف ZIP يبدو كأنه أداة رسمية شائعة لتقديم الإقرارات الضريبية دون اتصال. ووفقاً لما رصده تيكبامين، فإن شكل الصفحة والرسالة صُمما لإقناع المستخدم بأن العملية قانونية وروتينية.

  • الطُعم الأساسي: مخالفة أو غرامة ضريبية عاجلة
  • صيغة الإرسال: رسائل تصيد موجهة عبر البريد الإلكتروني
  • الملف المرفق: PDF يحتوي على رابط خبيث
  • المرحلة التالية: تنزيل ملف ZIP مزيف على أنه أداة ضرائب

ماذا يحدث بعد تنزيل الأداة المزيفة؟

تحميل خفي ثم تثبيت دائم داخل ويندوز

الملف المضغوط يحتوي على برنامج يبدو شرعياً، لكنه في الواقع يستغل أسلوب تحميل جانبي لمكتبة DLL خبيثة باسم nvdaHelperRemote.dll. هذه المكتبة تقوم بحقن حمولة إضافية داخل الذاكرة، ما يصعّب رصدها مبكراً بواسطة بعض أدوات الحماية التقليدية.

بعد ذلك، تتحقق البرمجية من امتلاكها صلاحيات المسؤول. وإذا لم تتوفر هذه الصلاحيات، تعرض نافذة UAC لإقناع الضحية بالموافقة على التشغيل بامتيازات أعلى، ثم تبدأ في فحص البيئة المحيطة لتجنب التشغيل داخل بيئات التحليل أو الصناديق الرملية.

  • الملف الخبيث الأول: nvdaHelperRemote.dll
  • الآلية: sideloading ثم حقن حمولة في الذاكرة
  • التصعيد: طلب صلاحيات Administrator عبر UAC
  • التخفي: فحص بيئات التحليل وSandbox

في مرحلة لاحقة، يجري تنزيل صورة JPG من خادم محدد ثم حفظها داخل ويندوز باسم background.jpg. لكن هذه الصورة ليست بريئة، إذ تُستخدم كحاوية لإخفاء حمولة ثانية يجري استخراجها لاحقاً على شكل DLL بحجم يقارب 504 كيلوبايت.

لماذا يعد هذا الهجوم خطيراً على الشركات والأفراد؟

الخطورة هنا لا تتوقف عند سرقة ملف أو كلمة مرور، بل تمتد إلى إنشاء موطئ قدم دائم داخل النظام. البرمجية تنسخ نفسها باسم Mixed Reality.exe وتُنشئ خدمة في ويندوز باسم MixedSvc لتعمل تلقائياً مع كل إقلاع، ما يمنح المهاجمين وصولاً طويل الأمد.

هذا يعني أن أي جهاز مصاب قد يتحول إلى نقطة تسريب لبيانات مالية، مستندات ضريبية، أو حسابات داخلية. كما أن استخدام صورة لإخفاء الحمولة الثانية يوضح مستوى أعلى من التخفي، وهو ما يجعل DcRAT تهديداً جدياً يجب التعامل معه بحذر.

كيف يمكن تقليل خطر هجوم DcRAT؟

  • عدم فتح روابط الضرائب إلا عبر المواقع الرسمية المكتوبة يدوياً
  • فحص ملفات ZIP وPDF الواردة من البريد بدقة
  • رفض طلبات UAC غير المتوقعة من برامج غير معروفة
  • تحديث حلول الحماية ومراقبة الخدمات الجديدة داخل ويندوز
  • توعية فرق المالية والضرائب بأساليب التصيد الموسمية

وفي الخلاصة، يوضح هذا الهجوم كيف يمكن لاستغلال موسم الإقرارات الضريبية أن يحول ملفاً يبدو عادياً إلى بوابة اختراق كاملة. كما يرى تيكبامين، فإن الوعي السريع ومراجعة أي أداة ضريبية قبل تشغيلها يظلان خط الدفاع الأول ضد DcRAT وسرقة البيانات.

التعليقات (1)


أضف تعليقك

عدد الأحرف: 0 يدعم: **نص غامق** *مائل* `كود` [رابط](url)

مقالات مرتبطة


مقالات مقترحة

محتوى المقال
جاري التحميل...