مجموعة هاكرز يسرقون ملايين الدولارات عبر هجمات عبقرية بـ LinkedIn
تاريخ النشر: 23rd, November 2024 GMT
كشفت مايكروسوفت أن مجموعة تهديد إلكتروني ترتبط بكوريا الشمالية تعرف باسم "Sapphire Sleet" قد نجحت في سرقة أكثر من 10 ملايين دولار من العملات الرقمية في غضون ستة أشهر عبر هجمات هندسة اجتماعية معقدة.
بحسب “ thehackernews”، تقوم هذه المجموعة بإنشاء حسابات مزيفة على منصات مهنية مثل LinkedIn، حيث تتظاهر بأنها إما مجندين أو باحثين عن وظائف، ما يتيح لها التواصل مع الأهداف بشكل مباشر وتحقيق مكاسب مالية غير مشروعة لدعم النظام الخاضع للعقوبات.
تستخدم المجموعة أساليب خداع متقدمة، حيث تُقدّم نفسها كأحد المستثمرين الراغبين في دعم الشركات المستهدفة من أجل عقد اجتماعات عبر الإنترنت.
إذا استجاب الهدف لهذا الإغراء وحاول الانضمام للاجتماع، تظهر له رسائل خطأ تطلب منه الاتصال بمدير الاجتماع.
وعند التواصل مع "مدير الاجتماع" المفترض، يتلقى الهدف ملف AppleScript أو Visual Basic Script، الذي يقوم بتحميل برمجيات خبيثة تهدف لسرقة بيانات الدخول للمحافظ الرقمية.
انتحال شخصيات مرموقة وترويج وهمي لفرص عملتتبع Sapphire Sleet طرقًا ذكية، مثل انتحال شخصيات مجندين في شركات مالية مثل Goldman Sachs للوصول إلى أهدافها.
ترسل المجموعة روابط مزيفة لمواقع تقييم مهارات، تطلب من المستخدمين التسجيل باستخدام بيانات حساب مزيفة، ليتم تحميل برمجيات خبيثة تتيح للمجموعة الوصول إلى النظام.
استغلال الذكاء الاصطناعياستفادت المجموعة أيضًا من أدوات الذكاء الاصطناعي مثل Faceswap لإنشاء صور مُعدّلة وصور لوثائق تبدو واقعية لدعم ملفات تعريف مزيفة على منصات مثل GitHub وLinkedIn.
وتُظهر الصور أشخاصًا بمظاهر احترافية، ما يزيد من فرص قبولهم في وظائف عن بعد ويعزز مظهر المصداقية.
تقييم نشاط IT الكوريين الشماليين ودورهم في دعم النظاموصفت مايكروسوفت نشر كوريا الشمالية للآلاف من العاملين في مجال تكنولوجيا المعلومات بالخارج كـ"تهديد ثلاثي"، حيث يحققون عائدات مالية مشروعة، ويستغلون وصولهم لسرقة الملكية الفكرية، وحتى لابتزاز الشركات.
المصدر: صدى البلد
كلمات دلالية: مايكروسوفت هجمات
إقرأ أيضاً:
جوجل تحذر: هاكرز يستغلون الذكاء الاصطناعي لخداع الملايين وسرقة معلومات حساسة
كشفت وحدة Mandiant التابعة لشركة جوجل والمتخصصة في استخبارات التهديدات الإلكترونية، عن حملة إلكترونية خبيثة تستغل الشعبية المتزايدة لأدوات الذكاء الاصطناعي، وذلك من خلال إنشاء مواقع إلكترونية وهمية تحمل طابع خدمات الذكاء الاصطناعي؛ بهدف نشر البرمجيات الخبيثة وسرقة البيانات الشخصية للمستخدمين.
وتشير تحقيقات جوجل إلى أن هذه الحملة انطلقت منذ منتصف عام 2024، وترتبط بمجموعة تهديدات إلكترونية تعرف باسم UNC6032 يعتقد أن لها صلات بقراصنة في فيتنام.
وفقا لـ جوجل، يقوم القراصنة بالترويج لمواقعهم الوهمية من خلال إعلانات مدفوعة على منصات التواصل الاجتماعي مثل فيسبوك ولينكدإن.
وتظهر هذه الإعلانات كأنها تابعة لأدوات ذكاء اصطناعي حقيقية وشهيرة مثل Luma AI، وDream Lab من Canva، وKling AI، ما يدفع المستخدمين للنقر عليها ظنا أنها خدمات موثوقة.
بمجرد دخول المستخدم إلى هذه المواقع، يعرض عليه واجهة تدعي أنها تقدم خدمات توليد فيديوهات أو صور باستخدام الذكاء الاصطناعي، وبغض النظر عن نوع المحتوى الذي يحاول المستخدم إنشاؤه، تقدم له دائما ملف مضغوط بصيغة ZIP لتحميله.
يحتوي هذا الملف على برنامج تنفيذي بامتداد مزدوج مثل .mp4.exe، ومموه بأيقونات شائعة لملفات الوسائط، لتجنب إثارة الشكوك، وعند تشغيله، يثبت البرنامج برمجية خبيثة على جهاز الضحية.
ما الذي تفعله البرمجيات الخبيثة؟بحسب باحثي جوجل، فإن البرمجية الأساسية التي تزرع في الجهاز تعرف باسم STARKVEIL، وهي أداة تثبيت Dropper مكتوبة بلغة Rust، تقوم بتحميل مكونات إضافية مهمتها جمع معلومات حساسة، من بينها بيانات تسجيل الدخول، معلومات البطاقات الائتمانية، وملفات تعريف الارتباط Cookies.
وغالبا ما يتم إرسال هذه البيانات إلى خوادم خارجية باستخدام واجهة برمجة تطبيقات تابعة لتطبيق تيليجرام.
كما تستخدم أنواع أخرى من البرمجيات الخبيثة ضمن الحملة، مثل GRIMPULL، وXWORM، وFROSTRIFT، والتي تؤدي وظائف مختلفة، من تسجيل ضغطات المفاتيح، ونشر العدوى عبر منافذ USB، إلى إنشاء قنوات تواصل مشفرة مع خوادم القيادة والتحكم، وجمع تفاصيل النظام، وتمت برمجة هذه البرمجيات لتفادي اكتشافها، من خلال فحص بيئات التشغيل الافتراضية والمحمية.
انتشار الحملةتكشف تقارير جوجل، أن القراصنة أنشأوا أكثر من 30 نطاقا إلكترونيا مزيفا منذ منتصف عام 2024، وأظهرت العينة التي تم تحليلها أن 120 إعلانا مزيفا على فيسبوك وصلت إلى ما يقدر بـ2.3 مليون مستخدم في دول الاتحاد الأوروبي.
كما وصلت إعلانات مشابهة على لينكدإن إلى ما بين 50 ألفا و250 ألف انطباع، واستهدفت بالدرجة الأولى المستخدمين في الولايات المتحدة وأوروبا وأستراليا.
وأكدت شركة “ميتا” أنها تعمل بالتعاون مع جوجل لإزالة المحتوى الاحتيالي وتعطيل الحسابات المرتبطة بهذه الحملة.
ومع تزايد انتشار أدوات الذكاء الاصطناعي، دعت جوجل المستخدمين إلى توخي الحذر عند التعامل مع خدمات جديدة على الإنترنت.
ونصحت بضرورة التحقق من مصداقية المواقع قبل تحميل أي ملفات، وتجنب التعامل مع مصادر غير موثوقة، كما أوصت باستخدام برامج حماية محدثة وتفعيل ميزات الأمان في المتصفح لتقليل احتمالية التعرض لمثل هذه التهديدات.
موجة حر قياسية تضرب هذه الولايات اليوم!