الجهات الفاعلة في مجال التهديد الانتهازي تستخدم قسيمة رمضان كإغراء لاستهداف عملاء متاجر البيع بالتجزئة في الشرق الأوسط

‍ملخص تنفيذي

يوثق هذا التقرير التحليل الفني الكامل لحملة البرامج الضارة المعقدة متعددة المراحل التي تستخدم إغراء خصم رمضان المصمم اجتماعيًا لاختراق نقاط نهاية Windows في الشرق الأوسط. يتنكر المستند الضار في صورة عرض ترويجي من AlCoupon (موقع مصري معروف لتجميع الكوبونات) يغري الأهداف برموز خصم وهمية لسلاسل البيع بالتجزئة الكبرى بما في ذلك Hyper One و Carrefour و Saudi و Metro، إلى جانب الوعد بالفوز بسلة رمضان بقيمة 2,000 جنيه مصري.

عند الفتح، يقوم ماكرو VBA المخفي بإسقاط أداة تحميل C # وتجميعها وتنفيذها بصمت. يتصل المُحمل بالتسليم C2، ويجلب مجموعة MSIL الأولية، ويقوم بتجميعها على الجهاز، وتنفيذها عبر rundll32. الحمولة الناتجة هي حصان طروادة للوصول البعيد (RAT) كامل المواصفات يعمل تحت مساحة الاسم Ftu4You. تتواصل RAT مع لوحة C2 المخصصة عبر HTTPS وتدعم الوصول الدائم إلى الغلاف عن بُعد، والتقاط لقطة شاشة كاملة، وتصفح نظام الملفات عن بُعد، ونقل الملفات ثنائي الاتجاه، وإدارة الجلسة التي توجه جميع عمليات استخراج الملفات من خلال عناوين URL الموقعة مسبقًا لـ AWS S3 لتجنب اكتشاف طبقة الشبكة.

يتم توجيه جميع عمليات استخراج الملفات (لقطات الشاشة والمستندات) عبر عناوين URL الموقعة مسبقًا لـ AWS S3 والتي تتجاوز فحص حركة مرور C2 واعتراض HTTPS وDLP المستند إلى المجال تمامًا.

‍