סייבר ואבטחת אתרים

מתקפת פישינג רב-שלבית ברוסיה: שילוב קטלני של רוגלת Amnesia RAT ונוזקת כופר

פיסינטלפני יום 1
0 3 דקות קריאה

קמפיין סייבר חדש ומתוחכם התגלה בימים האחרונים, כאשר הוא מכוון למשתמשים ברוסיה, בדגש על מחלקות כספים, משאבי אנוש ושכר בארגונים עסקיים.

צילום אתר mr-adv.co.il

על פי חוקרי אבטחה ממעבדות Fortinet FortiGuard, התוקפים משתמשים בטכניקות של הנדסה חברתית כדי להחדיר למערכות שילוב של סוס טרויאני לשליטה מרחוק (RAT) ונוזקת כופר הרסנית, תוך ניצול שירותי ענן לגיטימיים כדי לחמוק ממערכות ההגנה.

מהודעה "תמימה" ועד להשתלטות מלאה

המתקפה מתחילה במייל פישינג הכולל מסמכים בנושאים עסקיים שגרתיים, כמו "משימה למנהל חשבונות". הקורבנות מתפתים לפתוח ארכיון דחוס המכיל קובץ קיצור דרך (LNK) זדוני המשתמש בסיומת כפולה (כמו .txt.lnk) כדי להיראות כקובץ טקסט תמים.

ברגע הפעלת הקובץ, מתחילה שרשרת פעולות שקטה:

  • דיווח לתוקף: סקריפט שולח הודעה מיידית להאקר דרך Telegram Bot API על הצלחת השלב הראשון.
  • פעילות בזיכרון (Fileless): קוד VBS מוסווה היטב בונה את השלבים הבאים ישירות בזיכרון המחשב, מבלי להשאיר עקבות על הדיסק הקשיח.
  • עקיפת הגנות: המערכת מציגה למשתמש הודעות UAC (אישור מנהל מערכת) שוב ושוב, כל 3 שניות, עד שהמשתמש נכנע ומאשר את ההרשאות הדרושות לנוזקה.

הריגול המושלם אחרי המשתמש

השלב המרכזי במתקפה הוא פריסת ה-Amnesia RAT, נוזקה עוצמתית המורדת משירות הענן Dropbox.

הנוזקה מיועדת לגניבת מידע רגיש מכל הסוגים:

  • גניבת סיסמאות: שליפת נתונים מדפדפני אינטרנט וארנקי קריפטו.
  • ניטור רשתות חברתיות: גניבת גישה לחשבונות Discord, Steam ו-Telegram.
  • ריגול בזמן אמת: צילומי מסך, הפעלת מצלמת האינטרנט, הקלטת המיקרופון ומעקב אחר לחיצות מקלדת (Keylogging).

הצפנת קבצים באמצעות נוזקת כופר

לאחר שהתוקפים סיימו לשאוב את המידע הרלוונטי מהמחשב, הם מפעילים את השלב ההרסני: נוזקת כופר ממשפחת ה-Hakuna Matata. הנוזקה מצפינה מגוון רחב של קבצים, כולל מסמכים, תמונות, קוד מקור ובסיסי נתונים. התוקפים מבטלים את כלי השחזור של Windows ומנחים את הקורבן ליצור איתם קשר בטלגרם לצורך תשלום הכופר.

כיצד להתגונן מפני מתקפות פישינג מתוחכמות?

החוקרים מדגישים כי המתקפה אינה מנצלת חולשות אבטחה (Vulnerabilities) בתוכנה, אלא מנצלת פיצ'רים לגיטימיים של Windows וכלי ניהול מערכת. כדי להתגונן, מומלץ:

  1. ערנות לקבצי LNK: אין לפתוח קבצי קיצור דרך שנשלחו במייל, גם אם הם נראים כקבצי טקסט או PDF.
  2. הפעלת Tamper Protection: תכונה זו ב-Microsoft Defender מונעת מנוזקות לשנות הגדרות אבטחה קריטיות.
  3. ניטור תעבורת ענן: חסימה או ניטור של הורדות קבצי סקריפט משירותים כמו Dropbox או GitHub בתוך הארגון.
תגיות
פיסינטלפני יום 1
0 3 דקות קריאה

הוסף תגובה על הנושא שקראת

מאמרים דומים

מחדל הענק של Cloudflare: כך פרצת יום-אפס עקפה את כל ההגנות בדרך לשרתים שלכם

לפני 5 ימים

"דלת אחורית" לדמוקרטיה? האיחוד האירופי מנחית מכה על ספקי סייבר בסיכון גבוה

לפני 5 ימים

אל תפלו בפח: הפיצוי של ורייזון הפך למלכודת האקרים מסוכנת

לפני 6 ימים

הרוצח השקט של הרשת: תוכנה זדונית חדשה התגלתה בתוך רשת של ענקית Fortune 100

לפני 6 ימים
Back to top button
בי שייר אנו משתמשים בעוגיות כדי להבטיח את תפקוד האתר ולשפר את חוויית המשתמש. אפשר לבחור אילו סוגי עוגיות להפעיל.
בחירת עוגיות


מדיניות הפרטיות
Close

חוסם פרסומות מופעל

כדי לעזור לנו בהוצאות האתר, עליך לבטל את חוסם הפרסומות באתר זה.