استخدم قراصنة الإنترنت رسائل مايكروسوفت تيمز في حملة تصيد احتيالي جديدة تهدف إلى خداع المستخدمين لتنزيل مرفقات مصابة بالبرامج الضارة.
لقد كان مايكروسوفت تيمز للتو موضوعًا لحملة تصيد احتيالي جديدة. تم التعرف على هذا لأول مرة في أواخر أغسطس 2023 عندما بدأت رسائل مايكروسوفت تيمز الضارة، الصادرة من حسابين Office 365 مخترقين، في الانتشار عبر مؤسسات مختلفة. خدعت هذه الرسائل المستلمين وحملتهم على تنزيل ملف ZIP يبدو غير ضار، يحمل عنوان “تغييرات جدول العطلات”. في الآونة الأخيرة، واجه جوجل دوكس وسلايد أيضًا مشكلات تصيد احتيالي مماثلة.
المشكل يبدأ عند النقر على هذا المرفق في تنزيل ملف ZIP من عنوان URL الخاص بـ SharePoint. ومع ذلك، فإن ما بدا وكأنه ملف PDF غير ضار في ملف ZIP كان في الواقع ملف LNK يحتوي على VBScript خطير. أدى هذا البرنامج النصي إلى تثبيت سلالة من البرامج الضارة سيئة السمعة تُعرف باسم DarkGate.
ما هو DarkGate، هذه البرمجيات الخبيثة الخطيرة الجديدة؟
DarkGate، البرنامج الضار الذي يشكل قلب هذه الحملة، موجود منذ عام 2017. ومع ذلك، كان استخدامه يقتصر في السابق على دائرة ضيقة من مجرمي الإنترنت الذين استهدفوا ضحايا محددين. DarkGate عبارة عن برنامج ضار قوي ومتعدد الأوجه قادر على تنفيذ مجموعة من الأنشطة الضارة، بما في ذلك الوصول عن بعد عبر hVNC، واستخراج العملات المشفرة، وهجمات الصدفة العكسية، وتسجيل لوحة المفاتيح، وسرقة بيانات الحافظة، وتسلل المعلومات الحساسة، بما في ذلك الملفات وبيانات التصفح.
كشف التحقيق الذي أجرته شركة Truesec للأمن السيبراني أن عملية التنزيل استخدمت Windows cURL ببراعة لاسترداد رمز البرامج الضارة. تم تجميع VBScript مسبقًا وتم إخفاء مكوناته الضارة بذكاء داخل الملف، مما يزيد من صعوبة اكتشاف أنظمة الأمان.
هذه ليست المرة الأولى التي تتورط فيها رسائل مايكروسوفت تيمز في مشكلات أمنية. مؤخرًا، تم اكتشاف ثغرة أمنية تسمح للرسائل الواردة من حسابات خارجية بالتسلل إلى البريد الوارد الخاص بالمؤسسة، وهو ما لا ينبغي أن يحدث. ويبدو أن حملة DarkGate استغلت هذه الثغرة الأمنية أيضًا.