البرامج الضارة TimbreStealer

منذ نوفمبر 2023، تعرض الأفراد في المكسيك لمخططات تصيد احتيالي تحت عنوان الضرائب تهدف إلى نشر برنامج ضار يعمل بنظام Windows تم تحديده حديثًا يسمى TimbreStealer. ووصف الباحثون الذين اكتشفوا هذه الحملة الجناة بأنهم ماهرون، مشيرين إلى أن جهات التهديد هذه استخدمت تكتيكات وتقنيات وإجراءات مماثلة (TTPs) في سبتمبر 2023 لنشر حصان طروادة المصرفي المسمى Mispadu .

يستهدف مجرمو الإنترنت المستخدمين في المكسيك باستخدام TimbreStealer

بالإضافة إلى استخدام أساليب التعتيم المتقدمة لتجنب الكشف والحفاظ على الثبات، تتضمن حملة التصيد الاحتيالي تحديد الموقع الجغرافي لاستهداف المستخدمين في المكسيك على وجه التحديد. عند الوصول إلى مواقع الحمولة من مواقع خارج المكسيك، تقوم الحملة بإرجاع ملف PDF فارغ يبدو غير ضار بدلاً من الملف الضار.

تعتبر أساليب التهرب المستخدمة جديرة بالملاحظة، حيث تتضمن استخدام أدوات التحميل المخصصة واستدعاءات النظام المباشرة لتجاوز مراقبة واجهة برمجة التطبيقات التقليدية. علاوة على ذلك، تستخدم الحملة بوابة السماء لتنفيذ تعليمات برمجية 64 بت ضمن عملية 32 بت، وهي تقنية تم اعتمادها مؤخرًا بواسطة HijackLoader أيضًا.

تم تجهيز TimbreStealer بمجموعة متنوعة من قدرات التهديد

وقد تم تجهيز البرمجيات الخبيثة بوحدات مدمجة متنوعة مخصصة للتنسيق وفك التشفير وحماية الملف الثنائي الرئيسي. وفي الوقت نفسه، يجري عدة فحوصات للتأكد مما إذا كان يعمل في بيئة معزولة، وما إذا كانت لغة النظام ليست روسية، وما إذا كانت المنطقة الزمنية تقع ضمن منطقة أمريكا اللاتينية.

تقوم وحدة المنسق بإجراء عمليات فحص إضافية من خلال البحث عن الملفات ومفاتيح التسجيل للتأكد من عدم إصابة الجهاز مسبقًا. بعد ذلك، يبدأ مكون تثبيت الحمولة، ويقدم للمستخدم ملفًا خادعًا حميدًا. ومع ذلك، خلف الكواليس، يؤدي هذا الإجراء إلى تنفيذ الحمولة الأساسية لـ TimbreStealer.

تم تصميم الحمولة الأساسية لجمع نطاق واسع من البيانات، بما في ذلك معلومات بيانات الاعتماد من مجلدات مختلفة وبيانات تعريف النظام وعناوين URL التي تم الوصول إليها. فهو يبحث بشكل نشط عن الملفات ذات الملحقات المحددة ويتحقق من وجود برامج سطح المكتب البعيد.

يمكن أن تؤدي البرامج الضارة Infostealer إلى تداعيات كبيرة على الضحايا

تشكل البرمجيات الخبيثة Infostealer تهديدًا خطيرًا للضحايا لأنها مصممة خصيصًا للتسلل سرًا إلى الأنظمة وتسريب المعلومات الحساسة، مما يؤدي إلى تداعيات كبيرة. فيما يلي بعض الطرق التي يمكن أن يكون بها لبرامج Infostealer الضارة تأثيرات ضارة:

• سرقة البيانات : الغرض الأساسي من برنامج Infostealer الضار هو جمع معلومات حساسة، مثل بيانات اعتماد تسجيل الدخول والبيانات الشخصية والتفاصيل المالية والملكية الفكرية. بمجرد اختراق هذه المعلومات، يمكن استخدامها في أنشطة ضارة مختلفة، بما في ذلك سرقة الهوية أو الاحتيال المالي أو الوصول غير المصرح به إلى الحسابات.

• الخسارة المالية : غالبًا ما تستهدف البرامج الضارة Infostealer المعلومات المالية، مما قد يؤدي إلى خسائر مالية مباشرة للأفراد والمؤسسات. قد يستخدم مجرمو الإنترنت بيانات الاعتماد المصرفية التي تم جمعها لبدء معاملات غير مرخصة أو الوصول إلى الحسابات المالية.

• غزو الخصوصية : يمكن أن تؤدي سرقة المعلومات الشخصية والسرية من خلال البرامج الضارة Infostealer إلى انتهاك عميق للخصوصية. قد يتعرض الضحايا لانتهاك الثقة ويواجهون تحديات في استعادة هويتهم عبر الإنترنت.

• تعطيل الأعمال : في حالة المؤسسات، يمكن أن تؤدي البرامج الضارة Infostealer إلى تعطيل الأعمال. يمكن أن يؤدي فقدان بيانات الأعمال الحساسة أو الأسرار التجارية إلى الإضرار بالميزة التنافسية للشركة، وقد يؤدي الوصول غير المصرح به إلى الأنظمة المهمة إلى توقف العمل.

• الإضرار بالسمعة : يمكن أن يؤدي الكشف عن معلومات حساسة، خاصة إذا كانت تتضمن بيانات العملاء أو الموظفين، إلى الإضرار بشدة بسمعة الفرد أو المؤسسة. قد تتآكل الثقة والمصداقية، وقد يستغرق الأمر وقتًا وجهدًا كبيرًا لإعادة بناء الثقة.

• التسوية الموسعة : غالبًا ما تكون البرامج الضارة Infostealer جزءًا من هجوم إلكتروني أوسع. بمجرد حدوث الاختراق الأولي، قد يقوم المهاجمون بتثبيت أدوات ضارة إضافية، وإنشاء وصول مستمر ومواصلة استغلال النظام المخترق على مدى فترة طويلة.

لذلك، في الأساس، يمكن أن تؤدي البرامج الضارة لسرقة المعلومات إلى سلسلة من العواقب السلبية، بدءًا من الخسائر المالية وانتهاك الخصوصية إلى الإضرار بالسمعة والتداعيات القانونية. يجب على الأفراد والمؤسسات استخدام تدابير قوية للأمن السيبراني لمنع المخاطر المرتبطة بتهديدات Infostealer والكشف عنها والتخفيف من حدتها.