دبي: «الخليج»
كشفت «كاسبرسكي»، عن ارتفاع كبير في نشاط حملة تخريبية عبر البريد الإلكتروني تنشر برمجيتي Emotet وQbot الخبيثتين. وتستهدف الحملة الشركات والمؤسسات، وارتفع عدد رسائل البريد الإلكتروني التخريبية من حوالي 3,000 في فبراير 2022 إلى ما يقرب من 30,000 في مارس. ومن المحتمل أن تكون الحملة مرتبطة بالنشاط المتزايد لشبكة HYPERLINK Emotet الروبوتية.
ووجد خبراء «كاسبرسكي»، نمواً كبيراً في رسائل البريد الإلكتروني الخبيثة التي تستهدف شركات في بلدان مختلفة ضمن حملة منسقة تهدف إلى نشر برمجيتي Qbot وEmotet الخبيثتين، اللتين تنتميان إلى التروجانات المصرفية سيئة السمعة العاملة ضمن الشبكات الروبوتية، وبإمكانهم سرقة بيانات المستخدمين وجمع البيانات من الشبكات المؤسسية المصابة، وتوسعة انتشارهما في الشبكة، وتثبيت برمجيات فدية أو تروجانات أخرى على الأجهزة الشبكية. وتتمثل إحدى وظائف Qbot أيضاً في الوصول إلى رسائل البريد الإلكتروني وسرقتها.
واستمرت هذه الحملة لبضعة أشهر، لكن نشاطها ازداد بسرعة من نحو 3,000 رسالة بريد إلكتروني في فبراير 2022 إلى حوالي 30,000 في مارس.
وجاءت تلك الرسائل باللغات الإنجليزية والفرنسية والهنغارية والإيطالية والنرويجية والبولندية والروسية والسلوفينية والإسبانية.
ويعترض مجرمو الإنترنت مراسلات قائمة بين أطراف ويرسلون إلى هذه الأطراف بريداً إلكترونياً يحتوي على ملف أو رابط يؤدي غالباً إلى خدمة استضافة سحابية معروفة. ويكمن الهدف من البريد الإلكتروني في إقناع المستخدمين إما بتتبع الرابط وتنزيل مستند مؤرشف وفتحه باستخدام كلمة مرور مذكورة في البريد الإلكتروني، أو فتح ملف مرفق.
ويذكر المهاجمون عادة أن الملف يحتوي على بعض المعلومات المهمة، كعرض تجاري ما، لإقناع المستخدمين بفتحه أو تنزيله.
وتستطيع حلول «كاسبرسكي» الكشف عن المستند المؤرشَف بالصيغة HEUR:Trojan.MSOffice.Generic. ويُنزّل ويشغّل هذا المستند في معظم الحالات مكتبة Qbot، لكن الخبراء لاحظوا أيضاً أن بعض نسخ هذا المستند تنزّل البرمجية الخبيثة Emotet بدلاً من Qbot.
وقال أندري كوفتون، الخبير الأمني لدى «كاسبرسكي»: «إن تقليد مراسلات العمل خدعة شائعة يستخدمها مجرمو الإنترنت».
وأشار إلى أن هذه الحملة أكثر تعقيداً من المعتاد، نظراً لأن المهاجمين يعترضون محادثة قائمة ويُقحمون أنفسهم فيها، ما يجعل من الصعب اكتشاف مثل هذه الرسائل.
وأضاف: «بينما قد يشبه هذا المخطط هجمات اختراق البريد الإلكتروني للشركات والتي يتظاهر فيها المهاجمون بأنهم زملاء ويجرون محادثات مع الضحايا، لكن الفرق يكمن هنا في أن المهاجمين لا يستهدفون أفراداً بعينهم، فالمراسلات ليست سوى وسيلة ذكية لزيادة احتمال أن يفتح المستلم الملفات المرفقة بها».
