يستخدم المتسللون النوافذ المنبثقة المزيفة لـ reCAPTCHA لتثبيت البرامج الضارة وسرقة العملات المشفرة

كشفت مجموعة الأمن السيبراني eSentire عن استخدام النوافذ المنبثقة المزيفة على غرار CAPTCHA لخداع الضحايا لنشر برامج ضارة لجمع بياناتdent، وAmatera Stealer، وNETSupport RAT من خلال إساءة استخدام طريقة تُعرف باسم ClickFix.

tracوحدة الاستجابة للتهديدات (TRU) التابعة لشركة eSentire تصاعدًا في حملات استغلال ClickFix للوصول الأولي إلى الأنظمة المستهدفة في نوفمبر. ووفقًا للوحدة، يستخدم مُصنّعو التهديدات هذه الطريقة لإجبار الضحايا على تشغيل أوامر ضارة يدويًا عبر نافذة "تشغيل" في نظام Windows. 

وبمجرد تنفيذ هذه الأوامر، فإنها تطلق سلسلة من العدوى تنتهي بنشر Amatera Stealer وNetSupport RAT، وهما أداتان شرعيتان للمراقبة عن بعد تم إعادة استخدامهما من قبل مجرمين إلكترونيين للوصول عن بعد غير المصرح به.

تستخدم حملة ClickFix نظام reCAPTCHA للتسلل إلى البرامج الضارة

بحسب بحث أجرته شركة eSentire ونُشر يوم الخميس الماضي، يقوم المتسللون باستدراج الضحايا باستخدام مواقع ويب مزيفة ونوافذ منبثقة تبدو وكأنها "فحوصات أمنية"، بما في ذلك مربعات التحقق من reCAPTCHA الاحتيالية وصفحات Cloudflare Turnstile المزيفة. 

تُطالب الواجهات المُضلِّلة المستخدمين بـ"إصلاح" مشكلة مُفترضة، وتُجبرهم هذه التعليمات على تنفيذ أوامر ضارة دون إدراك المخاطر. بعد تنفيذ الأمر الأولي، يتم تسليم Amatera Stealer أولاً، يليه تثبيت NetSupport Manager، الذي يُتيح للمُخترقين مُراقبة الجهاز المُخترق والتحكم فيه كما لو كانوا موجودين فعليًا.

لا يُعد Amatera Stealer تهديدًا جديدًا تمامًا، بل هو أحدث تطور لبرنامج ACR Stealer، المعروف أيضًا باسم AcridRain. ظهر الإصدار السابق لأول مرة كمنتج برمجي ضار كخدمة في منتديات القراصنة عام 2024، والذي استخدمه العديد من المستخدمين عبر باقات الاشتراك.

توقفت مبيعات ACR مؤقتًا في منتصف عام ٢٠٢٤ عندما باع مطوره، المعروف على الإنترنت باسم SheldIO، الشيفرة المصدرية للبرنامج الخبيث. ورغم إعلان البيع، أكدت المجموعة أن ذلك "ليس نهاية" تطويره. يعتقد الباحثون الآن أن Amatera هو الخليفة المباشر لـ ACR، بعد إعادة بنائه بقدرات أكبر وتقنيات تهرب جديدة.

تم اكتشاف Amatera من قبل شركة التدقيق الأمني ​​Proofpoint في شهر يونيو، وهو متاح على أساس الاشتراك من 199 دولارًا أمريكيًا في الشهر إلى 1499 دولارًا أمريكيًا سنويًا.

تُوفر أماتيرا للجهات الفاعلة في مجال التهديدات قدرات واسعة النطاق لاستخراج البيانات، تستهدف محافظ العملات المشفرة، والمتصفحات، وتطبيقات المراسلة، وعملاء بروتوكول نقل الملفات (FTP)، وخدمات البريد الإلكتروني. وتُستخدم استراتيجيات تهرب متقدمة، مثل استدعاءات نظام WoW64، للتحايل على آليات ربط وضع المستخدم التي تستخدمها صناديق الحماية، وحلول مكافحة الفيروسات، ومنتجات EDR، وفقًا لشركة eSentire.

تمت كتابة البرامج الضارة بلغة C++ وهي قادرة على حصاد كلمات المرور المحفوظة وتفاصيل البطاقات وسجلات التصفح والملفات من متصفحات مثل Chrome وBrave وEdge وOpera وFirefox والمنصات المتخصصة مثل Tor Browser وThunderbird. 

برامج تحميل Windows PowerShell متعددة المراحل لإخفاء البرامج الضارة

وفقًا لتحليل التهديدات الذي أجرته شركة eSentire، فإن عملية إصابة Amatera مبنية على عدة طبقات من أوامر PowerShell المشوشة. 

لاحظ باحثو جامعة تكساس للبحوث (TRU) إحدى مراحل فك تشفير الحمولات اللاحقة باستخدام عملية XOR على السلسلة "AMSI_RESULT_NOT_DETECTED"، وهو مصطلح مرتبط بواجهة فحص مكافحة البرامج الضارة من مايكروسوفت. ربما اختار مطور أداة التحميل هذه العبارة عمدًا لإرباك الباحثين الذين يُجرون تحليلًا ديناميكيًا.

في حين أن Amatera هو الحمولة الأكثر شيوعًا المُستخدمة في هذه الحملات، فقد وثّقت eSentire أيضًا حالات استُخدم فيها نفس المُحمّل لنشر برامج سرقة معلومات أخرى، بما في ذلك Lumma وVidar. افتقرت بعض العينات إلى معلمات التكوين اللازمة لتشغيل برامج التحميل متعددة المراحل، ما دفع المخترقين إلى نشر NetSupport Manager مباشرةً.

وثّقت شركة eSentire وشركات أمنية أخرى حملات بريد إلكتروني توزّع ملفات نصوص برمجية من نوع Visual Basic مُموّهة على شكل فواتير. عند فتحها، نفّذت هذه الملفات نصوصًا برمجية دفعية تُشغّل مُحمّلات PowerShell التي تُحمّل XWorm.

شملت حملات أخرى مواقع إلكترونية مخترقة أعادت توجيه الزوار إلى صفحات تحقق مزيفة من Cloudflare، تُحاكي مطالبات ClickFix. وقد ارتبط هذا النشاط بعملية تُعرف بأسماء مثل SmartApeSG وHANEYMANEY وZPHP، وجميعها مزودة بـ NetSupport RAT كحمولة نهائية.

قام المتسللون ببناء مواقع ويب احتيالية تابعة لـ Booking.com والتي تستضيف عمليات فحص CAPTCHA مزيفة، وتطلب من المستخدمين فتح مربع حوار Run في Windows وتنفيذ أمر، وتثبيت برنامجdentلسرقة بيانات الاعتماد مباشرة على الأنظمة المصابة.

بعض حملات التصيد الاحتيالي المرتبطة بتوزيع هذه البرامج الضارة أداة تصيد احتيالي جديدة تُعرف باسم "سيفاس". ووفقًا لشركة حلول الأمن السيبراني "باراكودا"، تستخدم "سيفاس" أسلوب تشويش متقدمًا يُدرج أحرفًا غير مرئية في الشيفرة المصدرية لصفحات التصيد الاحتيالي، مما يصعب على الماسحات الضوئية الآلية اكتشافه.

"تخفي هذه المجموعة شفرتها عن طريق إنشاء أحرف عشوائية غير مرئية داخل الشفرة المصدرية مما يساعدها على التهرب من الماسحات الضوئية المضادة للتصيد الاحتيالي ويمنع قواعد YARA القائمة على التوقيع من مطابقة أساليب التصيد الاحتيالي الدقيقة". وكتبت في تحليلها الأسبوع الماضي: