المحتالين النيجيريين يتبنون هجمات أكثر تطوراً

هؤلاء الأمراء النيجيريين لديهم حيل جديدة.

تذكر تلك الحيل 419؟ كانت هذه رسائل البريد الإلكتروني التي غالباً ما تكون مكتوبة بشكل سيء ، والتي يزعم أنها من شخص ثري يرغب في الدفع ببذخ للمساعدة في تحويل ثروته / ثروتها خارج البلاد. في الواقع ، عندما قام الضحايا بتسليم بياناتهم المالية من أجل المساعدة والحصول على عائد كبير ، قام المحتالون بنهب الحسابات المصرفية واختفت.

يبدو أن هؤلاء المحتالين قد اختاروا تقنيات الهجوم والبرمجيات الخبيثة لسرقة البيانات التي كانت تستخدمها في السابق مجموعات متطورة من جرائم الإنترنت والتجسس الإلكتروني ، على حد قول باحثين من Palo Alto Networks. حدد باحثون من وحدة 42 ، فريق الاستخبارات المعني بالتهديد ، سلسلة الهجمات على الشركات التايوانية والكورية الجنوبية في تقرير "419 Evolution" الذي صدر يوم الثلاثاء.

في الماضي ، استهدفت الحيل الهندسية الاجتماعية في المقام الأول "الأفراد الأثرياء ، المطمئنين". مع وجود أدوات جديدة في متناول اليد ، يبدو أن هؤلاء المحتالين البالغ عددهم 419 قد حوّلوا مجموعة الضحايا إلى شركات.

وقال ريان أولسون ، مدير الاستخبارات في الوحدة 42: "لا تظهر الجهات الفاعلة مستوى عالًا من الفطنة الفنية ، ولكنها تمثل تهديدًا متزايدًا للشركات التي لم تكن في السابق أهدافها الأساسية".

هجمات متطورة من قبل المبتدئين

تتبعت Palo Alto Networks الهجمات التي أطلق عليها الباحثون في وحدة 42 على مدار العام ، والتي أطلق عليها باحثو الوحدة 42 على مدار الأشهر الثلاثة الماضية. بدأت الهجمات بمرفق بريد إلكتروني ضار ، وعند النقر عليه ، قام بتثبيت برامج ضارة على كمبيوتر الضحية. أحد الأمثلة على ذلك هو أداة الإدارة عن بُعد (RAT) تسمى NetWire ، والتي تسمح للمهاجمين بالاستيلاء عن بُعد على أجهزة Windows و Mac OS X و Linux. تم استخدام أداة أخرى ، DataScrambler ، لإعادة حزم NetWire لتجنب الكشف عن طريق برامج مكافحة الفيروسات. وقال التقرير إن DarkComet RAT تم استخدامه أيضًا في هذه الهجمات.

وقال التقرير إن هذه الأدوات غير مكلفة ومتاحة بسهولة في منتديات تحت الأرض ، ويمكن أن "يتم نشرها من قبل أي فرد لديه كمبيوتر محمول وعنوان بريد إلكتروني".

ووجد التقرير أن المحتالين الـ 419 كانوا خبراء في الهندسة الاجتماعية ، لكنهم كانوا مبتدئين عندما يتعلق الأمر بالعمل مع البرامج الضارة و "أظهروا ضعفًا ملحوظًا في الأمن التشغيلي". على الرغم من أن بنية القيادة والتحكم قد صممت لاستخدام مجالات DNS الديناميكية (من NoIP.com) وخدمة VPN (من NVPN.net) ، قام بعض المهاجمين بتكوين مجالات DNS للإشارة إلى عناوين IP الخاصة بهم. وقال التقرير إن الباحثين تمكنوا من تتبع الاتصالات مع مقدمي خدمات الإنترنت عبر الهاتف المحمول والقمر النيجيري.

المخادعون لديهم الكثير لنتعلمه

في الوقت الحالي ، لا يستغل المهاجمون أي ثغرات أمنية في البرامج ولا يزالون يعتمدون على الهندسة الاجتماعية (التي يجيدونها للغاية) لخداع الضحايا لتثبيت البرامج الضارة. يبدو أنهم يسرقون كلمات المرور وغيرها من البيانات لشن هجمات متابعة للهندسة الاجتماعية.

وكتب الباحثون "حتى الآن لم نلاحظ وجود أي حمولات ثانوية مثبتة أو أي حركة جانبية بين الأنظمة ، لكن لا يمكننا استبعاد هذا النشاط".

كشف الباحثون عن نيجيري ذكر البرامج الضارة مرارًا وتكرارًا على Facebook ، وسأل عن ميزات NetWire محددة أو طلب الدعم من العمل مع Zeus و SpyEye ، على سبيل المثال. وقال بالو ألتو نتووركز إنه على الرغم من أن الباحثين لم يربطوا بعد هذا الفاعل بالتحديد بهجمات Silver Spaniel ، فقد كان مثالاً على شخص "بدأ مهنته الإجرامية في تشغيل 419 عملية احتيال ويقومون بتطوير حرفتهم لاستخدام أدوات البرمجيات الخبيثة الموجودة في منتديات تحت الأرض".

أوصى التقرير بحظر جميع المرفقات القابلة للتنفيذ على رسائل البريد الإلكتروني وفحص أرشيفي.zip و.rar للملفات الضارة المحتملة. قالت بالو ألتو نتوركس إن الجدران النارية يجب أن تمنع أيضًا الوصول إلى نطاقات DNS الديناميكية التي يُساء استخدامها بشكل شائع ، ويحتاج المستخدمون إلى التدريب للاشتباه في المرفقات ، حتى عندما تبدو أسماء الملفات شرعية أو مرتبطة بعملهم. تضمن التقرير قواعد Snort و Suricata للكشف عن حركة مرور Netwire. كما أصدر الباحثون أداة مجانية لفك تشفير وفك تشفير الأوامر والسيطرة على الحركة والكشف عن البيانات التي سرقها مهاجمو Silver Spaniel.

وقال التقرير "في هذا الوقت لا نتوقع أن يبدأ ممثلو Silver Spaniel في تطوير أدوات أو عمليات استغلال جديدة ، لكن من المحتمل أن يتبنوا أدوات جديدة صنعها ممثلون أكثر قدرة".