🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
ذكاء التهديدات
5
mins read

تم الكشف عن احتيال ديب سيك كليك فيكس! قم بحماية بياناتك قبل فوات الأوان

يستغل مجرمو الإنترنت شعبية DeepSeek المتزايدة لإطلاق حملات ClickFix للتصيد الاحتيالي، ويخدعون المستخدمين للنقر على روابط CAPTCHA المزيفة التي تسرق بيانات الاعتماد وتثبت برامج ضارة مثل Vidar و Lumma Stealer. تنتحل هذه الهجمات شخصية العلامة التجارية لـ DeepSeek لتبدو شرعية وتتجاوز الإجراءات الأمنية وتصيب الضحايا غير المرتابين. كشف فريق أبحاث التهديدات في CloudSek عن نطاق ضار يوزع البرامج الضارة عبر أزرار التحقق الخادعة. تعرف على كيفية اكتشاف عمليات الاحتيال هذه وتأمين حساباتك مع MFA وتجنب أن تصبح الضحية التالية! ابق على اطلاع وقم بحماية بياناتك الآن قبل فوات الأوان! 🔥

أنشومان داس
February 10, 2025
Green Alert
Last Update posted on
August 21, 2025
المراقبة الاستباقية للويب المظلم لمؤسستك.

يمكنك مراقبة مؤسستك والدفاع عنها بشكل استباقي ضد التهديدات من الويب المظلم باستخدام CloudSek xviGil.

Schedule a Demo
Table of Contents
Author(s)
No items found.

ملخص تنفيذي

تستغل الجهات الفاعلة في مجال التهديد الشعبية المتزايدة لـ DeepSeek من خلال إطلاق حملات التصيد الاحتيالي التي تستخدم اسم العلامة التجارية لـ DeepSeek. تهدف هذه الحملات إلى سرقة بيانات الاعتماد وتوزيع البرامج الضارة، بما في ذلك من خلال مخططات الاستثمار المزيفة.

اكتشف فريق أبحاث التهديدات في CloudSek نطاقًا يستخدم لنشر برامج Vidar Stealer الضارة من خلال حملات ClickFix للتصيد الاحتيالي، وهو نوع من الاحتيال حيث يتم خداع الضحايا للنقر على رابط ضار يبدو أنه تحقق من captcha. غالبًا ما تؤدي هذه الروابط إلى تثبيت برامج ضارة، مثل Lumma Stealer المذكور في هذا التقرير. سابقة مشاركة مدونة، الذي نُشر في سبتمبر من العام الماضي، أوضح ذلك بالتفصيل.

التحليل والإسناد

تحليل المجال المزيف

1. في 31 يناير 2025، كلاود سيكاكتشف محلل عناوين URL السياقي بالذكاء الاصطناعي نطاقًا يحمل الاسم deepseek captcha [.] top تمت استضافة النطاق خلف Cloudflare وتم استخدامه لعرض عرض موضوع مدون DeepSeek مزيف.

النطاق المزيف الذي ينتحل اسم العلامة التجارية DeepSeek في حملة ClickFix

2. يُظهر سجل WHOIS أنه تم تسجيل النطاق على 31 يناير 2025. يستخدم النطاق خدمات استضافة Cloudflare لإخفاء طبيعته الحقيقية وتجنب الاكتشاف من محركات البحث القائمة على الذكاء الاصطناعي، مما يسمح له بالبقاء غير مكتشف لفترة طويلة.

3. أثناء تحليل وظائف وتدفق موقع التصيد الاحتيالي، أصبح من الواضح أن النقر فوق الزر «تحقق» في الصفحة المقصودة لصفحة الويب الضارة سيؤدي إلى نسخ أمر PowerShell ضار، وبمجرد اتباع التعليمات، سيبدأ تنزيل ملف ضار.

تقوم صفحة captcha المزيفة الخبيثة بتنزيل البرامج الضارة عندما تتبع الضحية الخطوات

4. يكشف الأمر المميز في لقطة الشاشة أن الملف المسمى 1.exe تم تنزيله وتنفيذه لاحقًا من %درجة الحرارة% دليل بدون أي تفاعل من المستخدم. عند التحقق من عنوان IP، 147.45.44 [.] 209 وجدنا أن قائمة الدليل تكشف عن جميع الملفات والنصوص في الحملات المستخدمة.

عينات أخرى من برامج Vidar الضارة إلى جانب البرنامج النصي للتنزيل وملف HTA موجودة على IP 147.45.44 [.] 209

4. استنادًا إلى التحليل الثابت الأساسي للملف الذي تم تنزيله، 1.exe تم تصنيفه على أنه برنامج تنزيل المرحلة الأولى لـ فيدار ستيلر والذي يستخدم لإصابة الأجهزة وسرقة المعلومات.

5. كشفت التحليلات الإضافية أن السارق قد قام بدمج منصات التواصل الاجتماعي، مثل Telegram و Steam، في بنيته التحتية لتوفير التحديثات والدعم، بالإضافة إلى وظيفة القيادة والتحكم (C2). يتضمن ذلك تضمين عنوان IP/عنوان URL في صفحة الملف الشخصي، والتي تستردها البرامج الضارة أثناء المرحلة الأولى من التنفيذ.

ملف تعريف Steam المستخدم لتنزيل نموذج المرحلة التالية من عنوان IP الموجود كاسم مستخدم للملف الشخصي

التوصيات

  • توعية المستخدم والتعليم: أفضل دفاع ضد هجمات التصيد الاحتيالي هو قاعدة مستخدمين مستنيرة. يجب على المنظمات والأفراد إجراء برامج تدريبية منتظمة للتوعية الأمنية لتثقيف المستخدمين حول مخاطر هجمات التصيد الاحتيالي وكيفية التعرف عليها وتجنبها. وهذا يشمل:
    • تحديد رسائل البريد الإلكتروني المخادعة: تعليم المستخدمين التعرف على العلامات الشائعة لرسائل البريد الإلكتروني الاحتيالية، مثل عناوين المرسلين المشبوهة والطلبات العاجلة للحصول على معلومات شخصية والروابط إلى مواقع ويب غير مألوفة.
    • مرر مؤشر الماوس قبل النقر: شجع المستخدمين على تمرير مؤشر الماوس فوق الروابط قبل النقر للتحقق من عنوان URL الوجهة.
    • التحقق من أصالة موقع الويب: ننصح المستخدمين بالتحقق من رمز القفل و «https://» في شريط العناوين للتأكد من أنهم يزورون موقعًا آمنًا.
    • الإبلاغ عن نشاط مريب: قم بإنشاء عملية واضحة للمستخدمين للإبلاغ عن رسائل البريد الإلكتروني أو مواقع الويب المشبوهة إلى قسم تكنولوجيا المعلومات.
  • المصادقة متعددة العوامل (MFA): يضيف تطبيق MFA طبقة إضافية من الأمان من خلال مطالبة المستخدمين بتوفير أشكال متعددة من التحقق قبل الوصول إلى الحسابات أو الأنظمة الحساسة. يمكن أن يقلل هذا بشكل كبير من مخاطر الوصول غير المصرح به حتى في حالة اختراق بيانات الاعتماد.
  • حلول تصفية البريد الإلكتروني ومكافحة الاحتيال: استخدم حلول تصفية البريد الإلكتروني ومكافحة التصيد الاحتيالي لاكتشاف رسائل البريد الإلكتروني الضارة وحظرها قبل وصولها إلى صناديق البريد الوارد للمستخدمين. يمكن لهذه الحلول استخدام مجموعة متنوعة من التقنيات، مثل الاكتشاف المستند إلى التوقيع وتحليل السمعة والتعلم الآلي، لتحديد رسائل البريد الإلكتروني المخادعة وعزلها.
  • تجزئة الشبكة: يمكن أن يساعد تقسيم الشبكة في احتواء انتشار البرامج الضارة في حالة هجوم التصيد الاحتيالي الناجح. ومن خلال عزل الأنظمة والبيانات الهامة عن بقية الشبكة، يمكن للمؤسسات الحد من الضرر المحتمل الناجم عن الاختراق.
  • خطة الاستجابة للحوادث: يمكن أن يساعد وجود خطة استجابة جيدة للحوادث المؤسسات على الاستجابة بسرعة وفعالية لهجمات التصيد الاحتيالي. يجب أن تتضمن هذه الخطة إجراءات لتحديد التهديد واحتوائه والقضاء عليه، بالإضافة إلى التواصل مع أصحاب المصلحة.
  • تحديثات البرامج العادية: يعد الحفاظ على تحديث البرامج والأنظمة بأحدث تصحيحات الأمان أمرًا بالغ الأهمية للتخفيف من نقاط الضعف التي يمكن استغلالها من قبل الجهات الفاعلة في مجال التهديد.
  • برامج مكافحة البرامج الضارة: يمكن أن يساعد نشر برامج مكافحة البرامج الضارة على جميع نقاط النهاية في اكتشاف وإزالة البرامج الضارة التي قد يتم تثبيتها من خلال هجمات التصيد الاحتيالي.
  • إدارة كلمة المرور: شجع المستخدمين على استخدام كلمات مرور قوية وفريدة لجميع حساباتهم وتجنب إعادة استخدام كلمات المرور عبر مواقع متعددة. ضع في اعتبارك تنفيذ مدير كلمات المرور لمساعدة المستخدمين على إدارة بيانات الاعتماد الخاصة بهم بأمان.

من خلال اتباع هذه التوصيات، يمكن للمؤسسات والأفراد الحد بشكل كبير من خطر الوقوع ضحية لهجمات التصيد الاحتيالي وحماية أنفسهم من المخاطر المرتبطة بسرقة البيانات والخسارة المالية والأضرار بالسمعة.

قائمة مؤشر التسويات

فيما يلي IOCs التي تم جمعها من الحملة:

IOCs
1.exe (sha256:cd7bd1c6b651a700f059bc89168d6950292d77fb3703da401fdc83acae911aae)
din.exe (sha256:3defc89a9190f7ba4474aaa8fb3f5a738a721dc1999ac6f71d438cdeadb20e7)
lem.exe (sha256:cedb81c4665ea6e96d6bce5b08546fa776d37f2ed10fee4eb65d216ba90bd839)
test.hta (sha256:a3a5303a15cf016427104042c4968b9483abbb062af46fc138d4401078f2fe84)
script.ps1 (sha256:f2fbe8f49cf070c8672c64a75a732b4545f5055e96570e873866ef534ffbe8ec)
yoda.exe (sha256:b112123f490a0505d0c2722abc65d1285865c519ec9587fe72e988c38fc1fcbc)
147.45.44[.]209
95.217.25[.]45
hxxps://steamcommunity[.]com/profiles/76561199824159981 (Malicious URL)
deepseekcaptcha[.]top

المراجع

الملحق

سير عمل حملة ClickFix العامة لتوزيع البرامج الضارة - Vidar Malware في هذه الحالة

Author

أنشومان داس

أبحاث التهديدات @CloudSEK

Predict Cyber threats against your organization

Schedule a Demo
Related Posts
No items found.

انضم إلى أكثر من 10,000 مشترك

تابع آخر الأخبار حول سلالات البرامج الضارة، وأساليب التصيد الاحتيالي،
مؤشرات التسوية وتسريب البيانات.

Take action now

Secure your organisation with our Award winning Products

CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.

CloudSEK XVigil

Digital Risk Protection platform which gives Initial Attack Vector Protection for employees and customers.

Learn more about XVigil
CloudSEK SVigil

Software and Supply chain Monitoring providing Initial Attack Vector Protection for Software Supply Chain risks.

Learn more about SVigil
CloudSEK SVigil

Creates a blueprint of an organization's external attack surface including the core infrastructure and the software components.

Learn more about BeVigil Ent
CloudSEK BeVigil

Instant Security Score for any Android Mobile App on your phone. Search for any app to get an instant risk score.

Learn more about BeVigil
احتيال

تم الكشف عن احتيال ديب سيك كليك فيكس! قم بحماية بياناتك قبل فوات الأوان

يستغل مجرمو الإنترنت شعبية DeepSeek المتزايدة لإطلاق حملات ClickFix للتصيد الاحتيالي، ويخدعون المستخدمين للنقر على روابط CAPTCHA المزيفة التي تسرق بيانات الاعتماد وتثبت برامج ضارة مثل Vidar و Lumma Stealer. تنتحل هذه الهجمات شخصية العلامة التجارية لـ DeepSeek لتبدو شرعية وتتجاوز الإجراءات الأمنية وتصيب الضحايا غير المرتابين. كشف فريق أبحاث التهديدات في CloudSek عن نطاق ضار يوزع البرامج الضارة عبر أزرار التحقق الخادعة. تعرف على كيفية اكتشاف عمليات الاحتيال هذه وتأمين حساباتك مع MFA وتجنب أن تصبح الضحية التالية! ابق على اطلاع وقم بحماية بياناتك الآن قبل فوات الأوان! 🔥
February 10, 2025
5
min
Table of Content
Example H2

ملخص تنفيذي

تستغل الجهات الفاعلة في مجال التهديد الشعبية المتزايدة لـ DeepSeek من خلال إطلاق حملات التصيد الاحتيالي التي تستخدم اسم العلامة التجارية لـ DeepSeek. تهدف هذه الحملات إلى سرقة بيانات الاعتماد وتوزيع البرامج الضارة، بما في ذلك من خلال مخططات الاستثمار المزيفة.

اكتشف فريق أبحاث التهديدات في CloudSek نطاقًا يستخدم لنشر برامج Vidar Stealer الضارة من خلال حملات ClickFix للتصيد الاحتيالي، وهو نوع من الاحتيال حيث يتم خداع الضحايا للنقر على رابط ضار يبدو أنه تحقق من captcha. غالبًا ما تؤدي هذه الروابط إلى تثبيت برامج ضارة، مثل Lumma Stealer المذكور في هذا التقرير. سابقة مشاركة مدونة، الذي نُشر في سبتمبر من العام الماضي، أوضح ذلك بالتفصيل.

التحليل والإسناد

تحليل المجال المزيف

1. في 31 يناير 2025، كلاود سيكاكتشف محلل عناوين URL السياقي بالذكاء الاصطناعي نطاقًا يحمل الاسم deepseek captcha [.] top تمت استضافة النطاق خلف Cloudflare وتم استخدامه لعرض عرض موضوع مدون DeepSeek مزيف.

النطاق المزيف الذي ينتحل اسم العلامة التجارية DeepSeek في حملة ClickFix

2. يُظهر سجل WHOIS أنه تم تسجيل النطاق على 31 يناير 2025. يستخدم النطاق خدمات استضافة Cloudflare لإخفاء طبيعته الحقيقية وتجنب الاكتشاف من محركات البحث القائمة على الذكاء الاصطناعي، مما يسمح له بالبقاء غير مكتشف لفترة طويلة.

3. أثناء تحليل وظائف وتدفق موقع التصيد الاحتيالي، أصبح من الواضح أن النقر فوق الزر «تحقق» في الصفحة المقصودة لصفحة الويب الضارة سيؤدي إلى نسخ أمر PowerShell ضار، وبمجرد اتباع التعليمات، سيبدأ تنزيل ملف ضار.

تقوم صفحة captcha المزيفة الخبيثة بتنزيل البرامج الضارة عندما تتبع الضحية الخطوات

4. يكشف الأمر المميز في لقطة الشاشة أن الملف المسمى 1.exe تم تنزيله وتنفيذه لاحقًا من %درجة الحرارة% دليل بدون أي تفاعل من المستخدم. عند التحقق من عنوان IP، 147.45.44 [.] 209 وجدنا أن قائمة الدليل تكشف عن جميع الملفات والنصوص في الحملات المستخدمة.

عينات أخرى من برامج Vidar الضارة إلى جانب البرنامج النصي للتنزيل وملف HTA موجودة على IP 147.45.44 [.] 209

4. استنادًا إلى التحليل الثابت الأساسي للملف الذي تم تنزيله، 1.exe تم تصنيفه على أنه برنامج تنزيل المرحلة الأولى لـ فيدار ستيلر والذي يستخدم لإصابة الأجهزة وسرقة المعلومات.

5. كشفت التحليلات الإضافية أن السارق قد قام بدمج منصات التواصل الاجتماعي، مثل Telegram و Steam، في بنيته التحتية لتوفير التحديثات والدعم، بالإضافة إلى وظيفة القيادة والتحكم (C2). يتضمن ذلك تضمين عنوان IP/عنوان URL في صفحة الملف الشخصي، والتي تستردها البرامج الضارة أثناء المرحلة الأولى من التنفيذ.

ملف تعريف Steam المستخدم لتنزيل نموذج المرحلة التالية من عنوان IP الموجود كاسم مستخدم للملف الشخصي

التوصيات

  • توعية المستخدم والتعليم: أفضل دفاع ضد هجمات التصيد الاحتيالي هو قاعدة مستخدمين مستنيرة. يجب على المنظمات والأفراد إجراء برامج تدريبية منتظمة للتوعية الأمنية لتثقيف المستخدمين حول مخاطر هجمات التصيد الاحتيالي وكيفية التعرف عليها وتجنبها. وهذا يشمل:
    • تحديد رسائل البريد الإلكتروني المخادعة: تعليم المستخدمين التعرف على العلامات الشائعة لرسائل البريد الإلكتروني الاحتيالية، مثل عناوين المرسلين المشبوهة والطلبات العاجلة للحصول على معلومات شخصية والروابط إلى مواقع ويب غير مألوفة.
    • مرر مؤشر الماوس قبل النقر: شجع المستخدمين على تمرير مؤشر الماوس فوق الروابط قبل النقر للتحقق من عنوان URL الوجهة.
    • التحقق من أصالة موقع الويب: ننصح المستخدمين بالتحقق من رمز القفل و «https://» في شريط العناوين للتأكد من أنهم يزورون موقعًا آمنًا.
    • الإبلاغ عن نشاط مريب: قم بإنشاء عملية واضحة للمستخدمين للإبلاغ عن رسائل البريد الإلكتروني أو مواقع الويب المشبوهة إلى قسم تكنولوجيا المعلومات.
  • المصادقة متعددة العوامل (MFA): يضيف تطبيق MFA طبقة إضافية من الأمان من خلال مطالبة المستخدمين بتوفير أشكال متعددة من التحقق قبل الوصول إلى الحسابات أو الأنظمة الحساسة. يمكن أن يقلل هذا بشكل كبير من مخاطر الوصول غير المصرح به حتى في حالة اختراق بيانات الاعتماد.
  • حلول تصفية البريد الإلكتروني ومكافحة الاحتيال: استخدم حلول تصفية البريد الإلكتروني ومكافحة التصيد الاحتيالي لاكتشاف رسائل البريد الإلكتروني الضارة وحظرها قبل وصولها إلى صناديق البريد الوارد للمستخدمين. يمكن لهذه الحلول استخدام مجموعة متنوعة من التقنيات، مثل الاكتشاف المستند إلى التوقيع وتحليل السمعة والتعلم الآلي، لتحديد رسائل البريد الإلكتروني المخادعة وعزلها.
  • تجزئة الشبكة: يمكن أن يساعد تقسيم الشبكة في احتواء انتشار البرامج الضارة في حالة هجوم التصيد الاحتيالي الناجح. ومن خلال عزل الأنظمة والبيانات الهامة عن بقية الشبكة، يمكن للمؤسسات الحد من الضرر المحتمل الناجم عن الاختراق.
  • خطة الاستجابة للحوادث: يمكن أن يساعد وجود خطة استجابة جيدة للحوادث المؤسسات على الاستجابة بسرعة وفعالية لهجمات التصيد الاحتيالي. يجب أن تتضمن هذه الخطة إجراءات لتحديد التهديد واحتوائه والقضاء عليه، بالإضافة إلى التواصل مع أصحاب المصلحة.
  • تحديثات البرامج العادية: يعد الحفاظ على تحديث البرامج والأنظمة بأحدث تصحيحات الأمان أمرًا بالغ الأهمية للتخفيف من نقاط الضعف التي يمكن استغلالها من قبل الجهات الفاعلة في مجال التهديد.
  • برامج مكافحة البرامج الضارة: يمكن أن يساعد نشر برامج مكافحة البرامج الضارة على جميع نقاط النهاية في اكتشاف وإزالة البرامج الضارة التي قد يتم تثبيتها من خلال هجمات التصيد الاحتيالي.
  • إدارة كلمة المرور: شجع المستخدمين على استخدام كلمات مرور قوية وفريدة لجميع حساباتهم وتجنب إعادة استخدام كلمات المرور عبر مواقع متعددة. ضع في اعتبارك تنفيذ مدير كلمات المرور لمساعدة المستخدمين على إدارة بيانات الاعتماد الخاصة بهم بأمان.

من خلال اتباع هذه التوصيات، يمكن للمؤسسات والأفراد الحد بشكل كبير من خطر الوقوع ضحية لهجمات التصيد الاحتيالي وحماية أنفسهم من المخاطر المرتبطة بسرقة البيانات والخسارة المالية والأضرار بالسمعة.

قائمة مؤشر التسويات

فيما يلي IOCs التي تم جمعها من الحملة:

IOCs
1.exe (sha256:cd7bd1c6b651a700f059bc89168d6950292d77fb3703da401fdc83acae911aae)
din.exe (sha256:3defc89a9190f7ba4474aaa8fb3f5a738a721dc1999ac6f71d438cdeadb20e7)
lem.exe (sha256:cedb81c4665ea6e96d6bce5b08546fa776d37f2ed10fee4eb65d216ba90bd839)
test.hta (sha256:a3a5303a15cf016427104042c4968b9483abbb062af46fc138d4401078f2fe84)
script.ps1 (sha256:f2fbe8f49cf070c8672c64a75a732b4545f5055e96570e873866ef534ffbe8ec)
yoda.exe (sha256:b112123f490a0505d0c2722abc65d1285865c519ec9587fe72e988c38fc1fcbc)
147.45.44[.]209
95.217.25[.]45
hxxps://steamcommunity[.]com/profiles/76561199824159981 (Malicious URL)
deepseekcaptcha[.]top

المراجع

الملحق

سير عمل حملة ClickFix العامة لتوزيع البرامج الضارة - Vidar Malware في هذه الحالة

أنشومان داس
أبحاث التهديدات @CloudSEK

أبحاث التهديدات @CloudSEK

Related Blogs

ذكاء التهديدات
February 10, 2025
5
min
تم الكشف عن احتيال ديب سيك كليك فيكس! قم بحماية بياناتك قبل فوات الأوان
Read more
احتيال
October 25, 2024
6
min
سحب البساط من Brics-bait - كيف يستخدم المحتالون المصداقية الدولية لخداع المستثمرين
Read more
احتيال
December 2, 2024
9
min
عمليات الاحتيال في Cyber Monday: تحليل شامل للتهديدات واستراتيجيات التخفيف
Read more