في عملية خداع معقدة ومتطورة، استخدم هاكرز موقع لينكدإن لنشر منشورات ورسائل مباشرة مزيفة تتعلق بوظيفة متخصص في إعلانات الفيسبوك في شركة الملحقات الشهيرة «Corsair»، وذلك بهدف استدراج الأشخاص إلى تنزيل برامج الفدية الخبيثة، مثل DarkGate و RedLine.
اكتشفت شركة الأمن السيبراني WithSecure هذا النشاط وتابعت أفعال المجموعة، وأظهرت التقارير الصادرة اليوم أنها مرتبطة بمجموعات الجريمة الإلكترونية الفيتنامية المسؤولة عن حملات «Ducktail» التي تم اكتشافها لأول مرة العام الماضي.
تهدف هذه الحملات إلى سرقة حسابات الفيسبوك التجارية القيمة التي يمكن استخدامها للإعلانات الخبيثة أو بيعها للمجرمين الإلكترونيين الآخرين.
تم اكتشاف برنامج الفدية DarkGate لأول مرة في عام 2017، لكن توزيعه ظل محدودًا حتى يونيو 2023، عندما قرر مؤلفه بيع الوصول إلى البرنامج الخبيث لجمهور أوسع.
الجدير بالذكر أن الجناة الفيتناميين استهدفوا بشكل رئيسي المستخدمين في الولايات المتحدة والمملكة المتحدة والهند، الذين يشغلون مناصب إدارة وسائل التواصل الاجتماعي ومن المرجح أن يمتلكون حسابات تجارية على الفيسبوك. تم تقديم الطعم عبر لينكدإن وتضمن عرض وظيفي في Corsair.
تم خداع الأهداف لتنزيل الملفات الخبيثة من URL يوجه عند النقر إلى Google Drive أو Dropbox لإسقاط ملف ZIP يحتوي على مستند PDF أو DOCX وملف TXT بالأسماء التالية:
- وصف الوظيفة في Corsair.docx
- الراتب والمنتجات الجديدة.txt
- PDF الراتب والمنتجات.pdf
أجرى باحثو WithSecure تحليلاً للبيانات الوصفية للملفات أعلاه ووجدوا أدلة تشير إلى توزيع برنامج RedLine الخبيث.
اقرأ: جوجل تضيف ميزات جديدة لحماية أجهزة أندرويد من البرمجيات الضارة
يحتوي الأرشيف المُنزل على نص برمجي VBS، من المحتمل أن يكون مضمنًا في ملف DOCX، يقوم بنسخ وإعادة تسمية «curl.exe» إلى موقع جديد ويستخدمه لتنزيل «autoit3.exe» ونص برمجي Autoit3 مترجم.
يقوم البرنامج التنفيذي بتشغيل النص البرمجي، ويقوم هذا الأخير بإزالة التشفير عن نفسه وبناء DarkGate باستخدام الجمل الموجودة في النص البرمجي.
بعد ثلاثين ثانية من التثبيت، يحاول البرنامج الخبيث إلغاء تثبيت منتجات الأمان من النظام المخترق، ما يشير إلى وجود عملية مؤتمتة.
قدمت لينكدإن ميزات لمكافحة الإساءة في المنصة في أواخر العام الماضي يمكن أن تساعد المستخدمين على تحديد ما إذا كان الحساب مشبوهًا أو مزيفًا.
ولكن، يتوجب على المستخدمين التحقق من المعلومات الموثقة قبل الدخول في تواصل مع حساب جديد.
اقرأ: برامج تواصل اجتماعي يجب عليك معرفتها في 2023
أطلقت WithSecure قائمة بمؤشرات الخطر (IoCs) التي قد تساعد المنظمات في الدفاع ضد النشاط من هذا المهاجم. تتضمن التفاصيل عناوين IP، والنطاقات المستخدمة، وعناوين URL، وبيانات التعريف للملفات، وأسماء الأرشيفات.