- مجموعة تصيد VENOM تستهدف مسؤولي C-Suite بالاسم
- رسائل البريد الإلكتروني تقلد إشعارات SharePoint مع رموز QR يونيكود
- المهاجمون يسرقون بيانات اعتماد الدخول، ورموز 2FA، وبتات الوصول
إذا كنت تعمل كمدير أو في C-Suite في منظمة عالمية كبيرة، كن حذرًا من هجوم تصيد جديد يستهدفك بالاسم.
حذر باحثو الأمن من Abnormal من حملة حيث يختار المهاجمون أهدافهم بعناية ثم يقتربون منهم برسالة بريد إلكتروني مصممة خصيصًا، والتي تهدف إلى سرقة بيانات اعتماد تسجيل الدخول و رموز 2FA.
تم بناء العملية بالكامل في مجموعة تصيد غير موثقة سابقًا تسمى VENOM، والتي تحتوي على نموذج ترخيص وتفعيل، وتخزين هيكلي للرموز، وواجهة إدارة حملة كاملة.
المقالة تتابع أدناه
سرقة الأسرار
تقول Abnormal إنها لم تظهر بعد في أي قواعد بيانات تهديد ذكاء عامة ولم تُلاحظ بأنها تُباع في منتديات الويب المظلم. وهذا يعني أنها على الأرجح منصة مغلقة الوصول يتم توزيعها عبر قنوات موثوقة.
تم تصميم رسائل البريد الإلكتروني نفسها حول إشعارات مشاركة مستندات SharePoint. يتم إقناع الضحايا أنهم حصلوا على مستند، ويتم دعوتهم لمسح رمز QR المقدم للوصول إليه.
رمز QR نفسه عمل فني، أيضًا. بدلاً من مجرد تضمين صورة (ربما تلتقطها حلول الأمن البريدي)، قام المهاجمون ببنائه بالكامل من أحرف اليونيكود المُعالجة داخل HTML.
أولئك الذين يقومون بمسح الرمز يتم إعادة توجيههم إلى نقطة تحقق مزيفة، مصممة لتصفية الروبوتات، والماسحات، والصناديق الرملية، وباحثي الأمن. بعد اجتياز نقطة التحقق، يتم تقديم الضحايا بإحدى طريقتين للمصادقة: إما باستخدام بيانات اعتماد الدخول ورمز 2FA، أو من خلال الدخول عبر الجهاز باستخدام رمز الجهاز الشرعي من مايكروسوفت. يقوم الأول بسرقة كلمات المرور ونقل رموز 2FA، بينما يحصل الثاني على بتات الوصول.
الدفاع ضد هذه الهجمات هو نفسه كما هو ضد أي رسالة بريد إلكتروني تصيد – استخدام الفطرة السليمة، والشك، وجرعة من جنون الارتياب عند قراءة رسائل البريد الإلكتروني.
تابع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبارنا، وآرائنا، ومراجعاتنا في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا متابعة TechRadar على تيك توك للحصول على الأخبار، والمراجعات، وفك التغليف في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضًا.
