«كاسبرسكي»: نمو كبير في حملة لنشر البرمجيات الخبيثة عبر البريد الإلكتروني

كشفت “كاسبرسكي”، عن ارتفاع كبير في نشاط حملة تخريبية عبر البريد الإلكتروني تنشر برمجيتي Emotet وQbot الخبيثتين.

تخطط الحملة لاستهداف الشركات والمؤسسات، وارتفع عدد رسائل البريد الإلكتروني التخريبية من حوالي 3 ألاف في فبراير 2022 إلى ما يقرب من 30 ألف في مارس.

ومن المحتمل أن تكون الحملة مرتبطة بالنشاط المتزايد لشبكة HYPERLINK Emotet الروبوتية، بحسب “الخليج” اليوم السبت 23 إبريل 2022.

واكتشف خبراء “كاسبرسكي”، نمواً كبيراً في رسائل البريد الإلكتروني الخبيثة التي تستهدف شركات في بلدان مختلفة ضمن حملة منسقة تهدف لنشر برمجيتي Qbot وEmotet الخبيثتين، اللتين تنتميان إلى التروجانات المصرفية سيئة السمعة العاملة ضمن الشبكات الروبوتية، وبإمكانهم سرقة بيانات المستخدمين وجمع البيانات من الشبكات المؤسسية المصابة، وتوسعة انتشارهما في الشبكة، وتثبيت برمجيات فدية أو تروجانات أخرى على الأجهزة الشبكية. وتتمثل إحدى وظائف Qbot أيضاً في الوصول إلى رسائل البريد الإلكتروني وسرقتها.

استمرت هذه الحملة لبضعة أشهر، لكن نشاطها ازداد بسرعة من نحو 3 ألاف رسالة بريد إلكتروني في فبراير 2022 إلى حوالي 30 ألف في مارس الماضي.

جاءت تلك الرسائل باللغات الإنجليزية والفرنسية والهنغارية والإيطالية والنرويجية والبولندية والروسية والسلوفينية والإسبانية.

يعترض مجرمو الإنترنت مراسلات قائمة بين أطراف ويرسلون إلى هذه الأطراف بريداً إلكترونياً يحتوي على ملف أو رابط يؤدي غالباً إلى خدمة استضافة سحابية معروفة. ويكمن الهدف من البريد الإلكتروني في إقناع المستخدمين إما بتتبع الرابط وتنزيل مستند مؤرشف وفتحه باستخدام كلمة مرور مذكورة في البريد الإلكتروني، أو فتح ملف مرفق.

يذكر المهاجمون عادة أن الملف يحتوي على بعض المعلومات المهمة، كعرض تجاري ما، لإقناع المستخدمين بفتحه أو تنزيله.

تستطيع حلول “كاسبرسكي” الكشف عن المستند المؤرشَف بالصيغة HEUR:Trojan.MSOffice.Generic. ويُنزّل ويشغّل هذا المستند في معظم الحالات مكتبة Qbot، لكن الخبراء لاحظوا أيضاً أن بعض نسخ هذا المستند تنزّل البرمجية الخبيثة Emotet بدلاً من Qbot.

قال الخبير الأمني لدى “كاسبرسكي”، أندري كوفتون، إن تقليد مراسلات العمل خدعة شائعة يستخدمها مجرمو الإنترنت.

أشار إلى أن هذه الحملة أكثر تعقيداً من المعتاد، نظراً لأن المهاجمين يعترضون محادثة قائمة ويُقحمون أنفسهم فيها، ما يجعل من الصعب اكتشاف مثل هذه الرسائل.

أضاف، أنه بينما قد يشبه هذا المخطط هجمات اختراق البريد الإلكتروني للشركات والتي يتظاهر فيها المهاجمون بأنهم زملاء ويجرون محادثات مع الضحايا، لكن الفرق يكمن هنا في أن المهاجمين لا يستهدفون أفراداً بعينهم، فالمراسلات ليست سوى وسيلة ذكية لزيادة احتمال أن يفتح المستلم الملفات المرفقة بها.