🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
اقرأ المزيد
نظرة عامة على الحملة
تتطور تهديدات الأمن السيبراني باستمرار وتزداد تعقيدًا. بدأ المحتالون في استخدام البرامج والتكنولوجيا مفتوحة المصدر لدعم عمليات الاحتيال وتطويرها وتخصيصها لاستهداف الأفراد في جميع أنحاء البلاد. يركز هؤلاء المحتالون ذوو الدوافع المالية على زيادة هوامش ربحهم من خلال عدم إنفاق أي أموال على إطلاق حملة احتيال. في السابق، في حملة مماثلة، شوهد محتالون يستغلون SmsEye2، وهو تطبيق أندرويد مفتوح المصدر يعيد توجيه رسائل SMS إلى Telegram Bot من جهاز محمول معين.
أثناء التحقيق في حملة احتيال لسرقة الرسائل القصيرة، اكتشف فريق TRIAD التابع لـ CloudSek برنامجًا ضارًا آخر مفتوح المصدر يعمل بنظام Android يسمى دوج جرات (Remote Access Trojan)، يستهدف قاعدة عملاء كبيرة عبر صناعات متعددة، وخاصة الخدمات المصرفية والترفيه. على الرغم من أن غالبية هذه الحملة استهدفت المستخدمين في الهند، إلا أنها تهدف إلى أن يكون لها نطاق عالمي. يتم إخفاء البرامج الضارة كتطبيق شرعي ويتم توزيعها من خلال وسائل التواصل الاجتماعي وتطبيقات المراسلة. بمجرد التثبيت، يمكن للبرامج الضارة سرقة المعلومات الحساسة من جهاز الضحية، مثل جهات الاتصال والرسائل وبيانات الاعتماد المصرفية. يمكن أيضًا استخدام البرامج الضارة للتحكم في جهاز الضحية وتنفيذ إجراءات ضارة، مثل إرسال رسائل البريد العشوائي، وإجراء مدفوعات غير مصرح بها، وتعديل الملفات، وعرض سجلات المكالمات، وحتى التقاط الصور عبر الكاميرات الأمامية والخلفية للجهاز المصاب.
من الضروري توخي اليقظة واتخاذ تدابير وقائية لحماية أصولنا الرقمية. في هذه المدونة، سنتعمق في تشغيل حملة DogRat للبرامج الضارة ونقدم نصائح حول كيفية حماية نفسك من هذا التهديد.
الإسناد
تم العثور على DogRat ليتم الإعلان عنه من قبل منشئ البرامج الضارة في قناتين على Telegram. في الصورة الموضحة أدناه، عرض مؤلف RAT إصدارًا متميزًا من DogRat يتمتع بقدرات إضافية تتمثل في التقاط لقطات الشاشة، وسرقة الصور من المعرض، والعمل كمسجل لوحة مفاتيح، وسرقة معلومات الحافظة، ولديه مدير ملفات جديد إلى جانب المزيد من المثابرة واتصالات الروبوت السلسة مع الجهاز المصاب.
علاوة على ذلك، قام مؤلف DogRat أيضًا بإنشاء مستودع GitHub حيث يتم استضافة RAT جنبًا إلى جنب مع فيديو تعليمي والقائمة التالية من الميزات/القدرات التي تقدمها RAT.
التحليل الفني
قم بالإعداد لـ DogA
يستخدم نظام Android RAT المستند إلى Java رمزًا بسيطًا جدًا من جانب الخادم مكتوبًا في NodeJS للتفاعل مع Telegram Bot والجهاز المصاب من خلال مقبس الويب. في هذا السيناريو، يعمل Telegram Bot كلوحة قيادة وتحكم لممثل التهديد الذي ينشئ الإعداد وينشر DogRat.
يُظهر البرنامج التعليمي الشامل لمؤلف البرامج الضارة على GitHub أن Telegram Bot ومنصة استضافة تطبيقات NodeJS المجانية مفتوحة المصدر كافيان لإطلاق حملة احتيال باستخدام DogRat.
الأذونات المطلوبة من قبل حصان طروادة
عند إطلاقه الأولي، يحصل حصان طروادة على أذونات متعددة، بما في ذلك على سبيل المثال لا الحصر الوصول إلى سجلات المكالمات والتسجيل الصوتي وقراءة رسائل SMS والوسائط والصور وما إلى ذلك.
استدعاء عرض الويب
تعرض البرامج الضارة باستمرار عنوان URL للكيان المستهدف في عرض الويب داخل التطبيق لإنشاء مظهر الشرعية. يمكن تغيير عنوان URL بناءً على الهدف من قبل ممثل التهديد الذي يقوم بتشغيل RAT.
التواصل مع خادم C2
كما ذكرنا سابقًا، يعمل Telegram Bot كلوحة C2 لـ RAT وبعد مزيد من الفحص لحركة مرور HTTP، اكتشفنا أن البرامج الضارة تشارك في الاتصال برمز الخادم الذي يمكن معالجته عبر Telegram Bot.
الكشف عن الحملة
أثناء الفرز الروتيني، عثر باحثو CloudSek على معرف حزمة ضار «ويلي.فيند». أدت التحقيقات الإضافية إلى اكتشاف أكثر من ألف تطبيق مزيف مصمم لاستهداف تطبيقات Android في قطاعات متعددة، بما في ذلك الخدمات المصرفية والألعاب والترفيه. أدى هذا الاكتشاف إلى تحديد حملة DogRat للبرامج الضارة.
الخاتمة
تُعد هذه الحملة بمثابة تذكير صارخ بالدوافع المالية التي تدفع المحتالين إلى تطوير تكتيكاتهم باستمرار. فهي لا تقتصر فقط على إنشاء مواقع التصيد الاحتيالي، ولكن أيضًا توزيع RAT المعدلة أو التطبيقات الضارة المعاد استخدامها لتنفيذ حملات احتيال منخفضة التكلفة وسهلة الإعداد، ولكنها تحقق عوائد عالية. وبالتالي، من المهم أن تكون على دراية بأحدث التهديدات وأن تتخذ خطوات لحماية نفسك. إليك بعض النصائح:
- كن حذرًا بشأن الروابط التي تنقر عليها والمرفقات التي تفتحها - إذا تلقيت رابطًا أو مرفقًا من شخص لا تعرفه، فلا تنقر عليه أو تفتحه.
- حافظ على تحديث برنامجك - غالبًا ما تتضمن تحديثات البرامج تصحيحات الأمان التي يمكن أن تساعد في حماية جهازك من البرامج الضارة.
- استخدم حلًا أمنيًا - يمكن أن يساعد حل الأمان الجيد في حماية جهازك من البرامج الضارة والتهديدات الأخرى.
- كن على دراية بعلامات الاحتيال - غالبًا ما يستخدم المحتالون تقنيات مثل الإلحاح والخوف والجشع لخداع الضحايا. إذا لم تكن متأكدًا من أي رسالة أو عرض، فمن الأفضل توخي الحذر وعدم النقر فوق أي روابط أو فتح أي مرفقات.
- ثقّف نفسك بشأن البرامج الضارة - كلما زادت معرفتك بالبرامج الضارة، كلما كنت مجهزًا بشكل أفضل لاكتشافها وحماية نفسك منها. هناك العديد من الموارد المتاحة عبر الإنترنت والتي يمكن أن تساعدك في معرفة المزيد عن البرامج الضارة.
مؤشرات التسوية (IOCs)
