حذر باحثو الأمن من Proofpoint مؤخرًا من برنامج ضار جديد يسمى “Voldemort”، والذي ينتشر عبر رسائل البريد الإلكتروني الاحتيالية ويتنكر باستخدام Google Sheets لتجاوز أنظمة الأمان والحصول على إمكانية الوصول إلى أنواع مختلفة من البيانات.
الشركات والمؤسسات هي الأهداف الرئيسية لهذا البرنامج الخبيث، وخاصة في قطاعات التأمين والفضاء والنقل والتعليم. لا يزال الجهات الفاعلة وراء هذا الهجوم الخبيث غير معروفة، لكن Proofpoint تعتقد أنه شكل من أشكال التجسس الإلكتروني.
تتظاهر رسائل البريد الإلكتروني الاحتيالية التي يرسلها فولدمورت بأنها صادرة عن سلطات في الولايات المتحدة أو أوروبا أو آسيا. ووفقًا للتقرير، يصمم المهاجمون رسائل البريد الإلكتروني الاحتيالية لتتوافق مع موقع المنظمة المستهدفة استنادًا إلى المعلومات المتاحة للجمهور، وتحتوي رسائل البريد الإلكتروني نفسها على روابط لمستندات مفترضة تحتوي على “معلومات ضريبية محدثة”.
متعلق ب: أكثر عمليات التصيد الاحتيالي شيوعًا والتي يجب أن تكون على دراية بها
ماذا يحدث عندما تنقر؟
بدأت حملة البرامج الضارة في 5 أغسطس 2024، وقد أرسل المهاجمون بالفعل أكثر من 20 ألف رسالة بريد إلكتروني إلى أكثر من 70 شركة مستهدفة. وفي أيام الذروة، تصل رسائل التصيد الاحتيالي إلى ما يصل إلى 6000 ضحية محتملة.
عندما ينقر الضحية على رابط في رسائل البريد الإلكتروني، يتم إعادة توجيهه لتنزيل ملف متنكر في هيئة ملف PDF، وهو ما قد لا يبدو مشبوهًا. لكن البرنامج الخبيث يتنكر في هيئة حركة مرور على الشبكة ويستخدم Google Sheets كخادم للتحكم والقيادة (يُعرف أيضًا باسم هجوم C2) – ولا تصنف أنظمة الأمان حركة مرور البرامج الضارة على أنها مشبوهة بسبب استخدام واجهة برمجة تطبيقات Google بما في ذلك بيانات الوصول المضمنة.
إن البرامج الخبيثة موجودة في المقام الأول لسرقة البيانات، ولكنها قادرة أيضًا على تنزيل برامج خبيثة إضافية، وحذف الملفات، وتعطيل نفسها مؤقتًا، وغير ذلك الكثير. بمعنى ما، يمكن أن تعمل بمثابة باب خلفي وبالتالي فهي تشكل تهديدًا متعدد الاستخدامات للأنظمة المصابة.
متعلق ب: كيف يمكن للبرامج الضارة التسلل إلى برنامج مكافحة الفيروسات الخاص بك
كيف تحمي نفسك
لحماية نفسك من حملة البرامج الضارة Voldemort، توصي Proofpoint بتقييد الوصول من خدمات مشاركة الملفات الخارجية إلى الخوادم الموثوقة، وحظر الاتصالات مع TryCloudflare عندما لا تكون هناك حاجة إليها بشكل نشط، ومراقبة عمليات تنفيذ PowerShell المشبوهة.
التقرير الكامل من Proofpoint متاح هنا.
ظهرت هذه المقالة أصلا في مطبوعتنا الشقيقة PC-WELT وتم ترجمتها وتوطينها من الألمانية.