في وقت سابق من شهر نيسان / أبريل 2023، رصدت شركة Kaspersky ارتفاعًا كبيراً في عدد برامج Qbot الضارة التي تقوم باستهداف موظفي الشركات والمؤسسات، وذلك عبر حملة بريد إلكتروني ضارة غير مرغوب فيها.

ويستخدم المهاجمون تقنيات الهندسة الاجتماعية المتقدمة، أي يقومون باعتراض مراسلات العمل الحالية ليرفقوها بملفات PDF ضارة ثم يعيدون توجيهها إلى نفس سلاسل البريد الإلكتروني. تعتبر هذه الطريقة غير معتادة بالنسبة لهذا النوع من البرامج الضارة.

فمنذ 4 أبريل، تم استلام أكثر من 5000 رسالة بريد إلكتروني تحتوي على مرفقات PDF ضارة، وذلك في بلدان مختلفة، بحسب ما أعلن الباحثون الأمنيون في Kaspersky الذين قاموا بإجراء تحليل تقنيّ للحملة الخبيثة مؤكدين أنها ما زالت مستمرة حتى لحظة كتابة هذا المقال.

 

ما هي برامج Qbot الضارة؟

برنامج Qbot الضار هو حصان طروادة سيء السمعة يعمل كجزء من شبكة الروبوتات botnet. هو قادر على سرقة بيانات المستخدم مثل كلمات المرور ومراسلات العمل. كما يسمح للمتسللين بالتحكم في النظام المصاب وتثبيت برامج الفدية، ونشر أحصنة طروادة عديدة على الأجهزة الأخرى المتصلة بالشبكة نفسها.

هذا ويستخدم مشغلو البرامج الضارة مخططات توزيع متنوعة، بما في ذلك إرسال رسائل بريد إلكتروني تحتوي على مرفقات PDF ضارة. خطّة لم تكن شائعة مسبقاً في هذا النوع من الحملات الالكترونية الخبيثة.

منذ أوائل أبريل 2023، لاحظت Kaspersky ارتفاعًا في نشاط حملة البريد الإلكتروني العشوائي التي تقوم باستخدام المخطط المذكور أعلاه. بدأت الموجة مساء يوم 4 أبريل، ومنذ ذلك الحين اكتشف الخبراء أكثر من 5000 رسالة بريد إلكتروني عشوائية تحتوي على ملفات PDF تنشر هذه البرامج الضارة باللغات الإنجليزية والألمانية والإيطالية والفرنسية.

يتم التوزيع من خلال مراسلات العمل الحقيقية للضحية التي قام مجرمو الإنترنت بسرقة بيانات الدخول إلى حسابها الخاص في العمل. فيرسلون بريدًا إلكترونيًا خبيثاً إلى جميع المشاركين في سلسلة الرسائل الحالية، ويطلبون منهم عادةً فتح مرفق PDF الضار في ظل موضوعات عمل معقولة أو طلبات تبدو حقيقية بنسبة عالية جداً. على سبيل المثال، يمكن للمهاجمين أن يطلبوا من المتلقين مشاركة جميع الوثائق المتعلقة بملف PDF المرفق أو حساب مبلغ العقد وفقًا للتكاليف المقدرة بالملف المرفق أيضاً.

محتوى ملف PDF الخبيث، المرفق بالبريد الالكتروني، هو صورة تحاكي إشعارًا من Microsoft Office 365 أو Microsoft Azure. إذا نقر المستخدم على “فتح الملف”، سيتم تنزيل البرنامج الضار تلقائياً إلى جهاز الكمبيوتر من خادم بعيد أو موقع ويب تم اختراقه.

وتعليقاً على رصد هذه الحملة، قالت محللة البرامج الضارة في Kaspersky داريا إيفانوفا: “نوصي الشركات بأن تبقى يقظة لأن برامج Qbot ضارة جدًا. صحيح أن الوظائف الأساسية لهذه البرامج لم تتغير على مدار العامين الماضيين، لكن المشغلون يعملون باستمرار على تحسين تقنياتهم عبر إضافة عناصر مقنعة جديدة للهندسة الاجتماعية. هذا يزيد من احتمالية وقوع الموظفين ضحية لهذه الحيلة”.

وأضافت: “للبقاء في أمان، يجب رصد العلامات الحمراء المحتملة والتحقق بعانية منها، مثل تهجئة عنوان البريد الإلكتروني للمرسل، والتوقف عند المرفقات الغريبة، والأخطاء النحوية، وما إلى ذلك من أمور قد تثير الريبة والشك. كما يمكن أن تساعد برامج الأمن السيبراني المتخصصة في ضمان أمن رسائل البريد الإلكتروني الخاصة بالشركات، وبذلك ننصح بتثبيتها وتحديثها بشكل دائم”.

 

ما الذي يمكن فعله؟

لحماية المؤسسة من التهديدات ذات الصلة، يوصي خبراء Kaspersky بما يلي:

– التحقق من عنوان المرسل.

تأتي معظم الرسائل غير المرغوب فيها من عناوين البريد الإلكتروني التي ليس لها معنى أو تظهر على أنها هراء. من خلال التمرير فوق اسم المرسل، والذي قد يتم تهجئته بشكل غريب، يمكن مشاهدة عنوان البريد الإلكتروني بالكامل. إذا لم تكونوا متأكدين مما إذا كان عنوان البريد الإلكتروني شرعيًا أم لا، فيمكنكم وضعه في محرك بحث للتحقق منه.

– الحذر من رسالة تخلق إحساسًا بالإلحاح.

غالبًا ما يحاول مرسلو الرسائل غير المرغوب فيها ممارسة الضغط من خلال خلق شعور بالإلحاح. على سبيل المثال، قد يحتوي سطر الموضوع على كلمات مثل “عاجل” أو “إجراء فوري مطلوب” للضغط على الضحية لاتخاذ إجراء سريع.

– تدريب الموظفين بشأن الأمن السيبراني.

يمكن إجراء محاكاة لطريقة تنفيذ هجوم التصيد، للتفسير والتوضيح والتأكد من أن الموظفين يعرفون كيفية التمييز بين رسائل البريد الإلكتروني المخادعة والرسائل الأصلية.

– استخدام برامج أمنية متخصصة برصد الفيروسات والهجمات الخبيثة، ومن الأفضل الحصول على الاشتراك المدفوع بدل المجاني لتوفير الأمن الالكتروني المطلوب.