يرى الأمن السيبراني صعود emotet والإعلان الخاطئ الشامل

تستمر التهديدات الخبيثة في التهرب من الاكتشاف والانتشار بسرعة عبر الشبكات. ينطبق هذا بشكل خاص على البرامج الضارة emotet و omnatuor ، والتي أثارت قلقًا متزايدًا في مجتمع الأمن السيبراني.

يمكن تسليم هذه البرامج الضارة عبر البريد الإلكتروني ووسائل التواصل الاجتماعي وحتى مواقع الويب الشرعية التي اخترقها المهاجمون. بمجرد التثبيت ، يمكنهم سرقة المعلومات الحساسة مثل بيانات اعتماد تسجيل الدخول والمعلومات المالية. بالإضافة إلى ذلك ، غالبًا ما يستخدم المهاجمون أجهزة الكمبيوتر المصابة لشن المزيد من الهجمات ، مما يجعل من الصعب على المؤسسات احتواء الضرر.

لكن بمرور الوقت ، تطورت هذه الهجمات إلى تهديد أكثر تعقيدًا وخطورة ، مما يبرز حاجة المنظمات إلى توخي اليقظة والاستباقية. أكثر من أي وقت مضى ، يجب على الشركات والمؤسسات مواكبة الإجراءات الأمنية القوية وتنفيذها للحماية من التهديدات المتزايدة.

من طروادة المصرفية إلى البرامج الضارة كخدمة

ظهرت Emotet ، وهي حصان طروادة بنكي معياري ، لأول مرة في عام 2014 وتطورت منذ ذلك الحين إلى تهديد معقد وخطير. Emotet عبارة عن برنامج ضار كخدمة يتم تقديمه عبر البرامج النصية أو الروابط أو ملفات المستندات الممكّنة بماكرو. يُعرف البرنامج الضار بقدرته على استرداد الحمولات من خوادم الأوامر والتحكم ، مما يمكّنه من تثبيت إصدارات محدثة من الفيروس وتفريغ المعلومات المسروقة ، مثل أرقام بطاقات الائتمان وعناوين البريد الإلكتروني. بالإضافة إلى ذلك ، تم استخدام emotet كآلية توصيل للبرامج الضارة الأخرى ، بما في ذلك حملة omnatuor الضارة.

في كانون الثاني (يناير) 2021 ، تلقى emotet ضربة كبيرة حيث أجرت وكالات إنفاذ القانون من هولندا والمملكة المتحدة والولايات المتحدة وألمانيا وفرنسا وليتوانيا وكندا وأوكرانيا عملية إزالة منسقة للبرنامج الضار سيئ السمعة. على الرغم من هذه النكسة ، تمكنت emotet من العودة ، حيث قام مؤلفوها بتكييف تقنياتهم لتفادي الإجراءات المضادة المتزايدة من Microsoft على أمان VBA Macro.

بعد 11 شهرًا من الخمول ، بدأت التقارير المتعلقة بحملات malspam المتعلقة بـ emotet في الارتفاع في النصف الأول من عام 2022. وقد أكد الهجوم البارز على معهد ماكس بلانك لفيزياء البلازما في 12 يونيو على هذا الانبعاث.

أقنعة يمكن تصديقها ولكنها مكلفة

الآن ، أصبحت قدرة emotet على التكيف والتهرب من الاكتشاف مرة أخرى على رأس قائمة عائلات البرامج الضارة الأكثر تأثيرًا في جميع أنحاء العالم ، مما يجعلها تهديدًا يجب على المنظمات والأفراد التعامل معه بجدية.

قال مارك فايتزمان ، رئيس فريق مختبر التهديدات في Deep Instinct: “منذ عام 2021 ، لم يغير emotet قدراته الأساسية وبنية الكود كثيرًا ، باستثناء الانتقال إلى 64 بت ، لكنه نجح في نضج تدفق العدوى في كل مرة لتجنب الاكتشافات”. خلال حملتهم الكبرى الأخيرة في نوفمبر 2022 ، شهدنا ارتفاعًا في محاولات الإصابة بالعدوى في البرية. تم الكشف عن Emotet بنشر Quantum و Black Cat و Bumblebee. لذلك ، فهي مربحة للغاية ويمكن استخدامها من قبل البرامج التابعة لمجموعات برامج الفدية التي تحظى بشعبية كبيرة حاليًا. في الآونة الأخيرة ، يمكننا أن نرى المزيد من سلالات المعلومات الجديدة أكثر من أي نوع آخر من البرامج الضارة “.

أحد أكثر جوانب emotet غدرًا هو قدرته على التنكر في صورة اتصال من مؤسسة شرعية ، وغالبًا ما تستخدم رسائل البريد الإلكتروني هذه مواضيع مألوفة مثل “تنبيه الحساب” و “الفاتورة” و “رسالة الفوترة التلقائية” لخداع المستخدمين في التفكير . هم شرعيون. تتضمن الحيل “اختطاف سلسلة محادثات البريد الإلكتروني” ، حيث يقوم حصان طروادة باختطاف محادثات البريد الإلكتروني الحالية لإصابة المستلم ، مستغلاً الثقة التي تم إنشاؤها بالفعل مع المرسل.

قال ويل لاسالا ، كبير مسؤولي التكنولوجيا في شركة OneSpan لأمن الهوية والحلول لـ VentureBeat .

تكتيكات متطورة

وفقًا لـ LaSala ، فإن المستخدمين المستهدفين من قبل emotet قد قاموا بسرقة أوراق اعتمادهم واستخدموا لإنشاء هوية اصطناعية لشراء المركبات الكبيرة.

قام المهاجمون بجمع بيانات الاعتماد ومعلومات التعريف الشخصية (PII) من خلال تطبيق يستهدف البرامج الضارة للجوال ودمجوا التفاصيل من العديد من حسابات المستخدمين المختلفة لإنشاء حساب واحد. يمكن للمهاجم بعد ذلك أن يستدير ويستخدم هذا الحساب للشراء من وكالة مطمئنة. نتيجة لذلك ، كان عدد المستخدمين والمؤسسات المتأثرة كثيرًا – لم يكن مجرد مهاجم واحد وضحية واحدة.

يتمتع Emotet أيضًا بإمكانيات شبيهة بالديدان تسمح له بالانتشار إلى أجهزة الكمبيوتر المتصلة وشبكات Wi-Fi القريبة من خلال سرقة كلمات مرور المسؤول. باعتباره برنامجًا ضارًا متعدد الأشكال ، يمكنه تغيير ميزاته المحددة باستمرار لتجنب الاكتشاف. على سبيل المثال ، إذا اكتشف أنه يعمل داخل آلة افتراضية أو بيئة وضع الحماية ، فيمكنه التكيف وفقًا لذلك ، مثل الكذب في حالة سبات لتجنب الاكتشاف.

بالإضافة إلى ذلك ، غالبًا ما يقوم emotet بتثبيت حصان طروادة مصرفي يسمى TrickBot ، والذي يستهدف بشكل صريح أجهزة Windows. يستخدم TrickBot أداة Mimikatz لاستغلال ثغرة Windows EternalBlue ، والتي من المعروف أنها تؤدي إلى المزيد من الإصابات مع Ryuk ransomware ، المصممة خصيصًا لاستهداف بيئات المؤسسات.

بالنظر إلى كل هذا ، من الواضح أن emotet هو تهديد متطور للغاية ومتطور باستمرار يتطلب يقظة دائمة وإجراءات أمنية قوية للدفاع ضده.

لمنع هجمات emotet ، توصي LaSala المؤسسات باستخدام أدوات قوية لإدارة المخاطر باستخدام الذكاء الاصطناعي (AI) والتعلم الآلي (ML) الذي يمكنه اكتشاف التهديدات فور حدوثها والتأكد من أن التطبيقات يمكن أن تتفاعل معها.

سرقة إعدادات المتصفح لنشر البرامج الخطرة

Omnatuor هي حملة دعاية خبيثة تستخدم الإعلانات الخبيثة لتوصيل البرامج الضارة إلى المستخدمين المطمئنين. تم اكتشاف الحملة لأول مرة في عام 2019 ، ومنذ ذلك الحين ، كانت مسؤولة عن إصابة آلاف أجهزة الكمبيوتر في جميع أنحاء العالم. يستخدم مجموعة متنوعة من التكتيكات ، بما في ذلك دفع الإخطارات والنوافذ المنبثقة وإعادة التوجيه داخل المتصفح لتقديم البرامج الضارة للمستخدمين المطمئنين.

الأمر الأكثر إثارة للقلق هو استمرار omnatuor في عرض الإعلانات ، حتى بعد انتقال المستخدم بعيدًا عن الصفحة الأولى. في حين أن البعض في مجتمع الأمن قد يرفضون omnatuor على أنه مجرد برامج إعلانية ، فإن هذا التصنيف يقلل من الخطر المحتمل الذي تشكله الحملة.

بالإضافة إلى قدرته على الاستمرار ، فإن omnatore معروف بتقديم محتوى ضار. استفادت الحملة من نقاط الضعف في WordPress ، حيث قامت بتضمين كود JavaScript أو PHP خبيث. إنه فعال في نشر برامج التجسس وبرامج التجسس والبرامج الإعلانية الخطرة. بمجرد وضع الشفرة في مكانها ، فإنها تعيد توجيه المستخدمين إلى الإعلانات الخاطئة ، والتي يمكن أن تأخذ شكل النوافذ المنبثقة أو دفع الإخطارات. تم تصميم هذه الإعلانات الخبيثة لخداع المستخدمين للنقر عليها ، مما قد يؤدي إلى تثبيت برامج ضارة أو سرقة معلومات حساسة.

زيادة مخاطر الذكاء الاصطناعي

يقول باتريك بوش ، مدير المنتج لأمن S / 4HANA في SAP ، إن الموجة الحالية من هجمات البرامج الضارة قد تكون مرتبطة بظهور الذكاء الاصطناعي ، وبشكل أكثر تحديدًا ChatGPT.

وفقًا لـ Boch ، وجد الباحثون أن مجرمي الإنترنت يستخدمون بشكل متزايد ChatGPT لتعبير محتوى أكثر إقناعًا للمستخدم العادي. وقال: “لذلك ، حيث كان يمكن للمستخدم سابقًا التعرف بسهولة على بريد إلكتروني تصيد أو إعلان مزيف عن طريق أخطاء لغوية واضحة ، أصبح من الصعب الآن التعرف على هذه الرسائل نفسها”.

أشار Boch إلى أنه بينما تقوم التكنولوجيا بدورها من خلال اكتشاف البرامج الضارة وعزلها وإزالتها ، فإن الوعي الأمني ​​السيبراني هو الطريقة الأكثر فعالية لمنعها ، كما قال Boch.

قال بوش لموقع VentureBeat: “يعتمد كلا البرنامجين الضارين على نوع من التفاعل مع المستخدم لإصابة شبكة أو نظام – والتقليل من هذا التفاعل من خلال تمكين الأشخاص من التعرف على التهديدات المحتملة يقطع شوطًا طويلاً في الحماية ضدهم”.

تعزز القوى العاملة الموزعة عمليات توغل جديدة

على عكس الهجمات الإلكترونية التقليدية التي تستند إلى حقن الشبكة أو نقاط الضعف في البرامج ، فإن البرامج الضارة القائمة على التصيد مثل emotet و omnatuor تتلاعب بالبشر في الحلقة.

يعتقد بوجان كومار ، الرئيس التنفيذي والشريك المؤسس لمنصة برامج النسخ الاحتياطي والاستعادة كخدمة (SaaS) Clumio ، أن ظهور emotet و omnatuor مرتبط ارتباطًا وثيقًا بظهور القوى العاملة الموزعة.

قال كومار لموقع VentureBeat: “عندما يقوم الموظفون بتسجيل الدخول من الأجهزة الشخصية والمتصفحات والعملاء ، أصبحت بيئات شركاتهم أهدافًا أسهل”.

وقال إن CheckPoint Research يتحقق أيضًا من صحة ذلك. الصناعات الأكثر تضررًا اليوم هي الحكومة والتمويل والتصنيع – قوى عاملة شديدة المركزية أصبحت فجأة بعيدة وغير قادرة على الحفاظ على نظافتها الأمنية.

قال كومار إن أمثال emotet و omnatuor ستصبح أكثر تعقيدًا في قدرتها على محاكاة المصداقية السياقية لخداع المستخدمين ، ويحذر من أن هذه مشكلة لا يمكن للأمن الإلكتروني وحده حلها.

قال: “تتضمن بعض المقاييس والاتجاهات التي يمكن للمدراء التنفيذيين تحديدها أو البحث عنها معدلات البريد العشوائي / التصيد التي يتم الإبلاغ عنها ذاتيًا من الموظفين لضبط تصفية البريد الإلكتروني بدقة ، ووقت تصحيح نقاط الضعف الحرجة ومشاركة الموظفين في الاتصالات المتعلقة بالأمن”.

للحماية من emotet و omnatuor ، من المهم الحفاظ على تحديث البرامج وأنظمة الأمان وتوخي الحذر عند النقر على الروابط أو تنزيل الملفات من مصادر غير معروفة. بالإضافة إلى ذلك ، من الأهمية بمكان أن يكون لديك نسخة احتياطية قوية وخطة التعافي من الكوارث لتقليل تأثير الهجوم.

يجب أن تنظر المنظمات أيضًا في تنفيذ تقنيات متقدمة للكشف عن التهديدات والاستجابة لها ، مثل اكتشاف نقطة النهاية والاستجابة لها (EDR) ووضع الحماية. يمكن أن تساعد هذه التقنيات في اكتشاف البرامج الضارة وحظرها قبل أن تتسبب في حدوث ضرر. بالإضافة إلى ذلك ، يجب تدريب فرق الأمن على التعرف على علامات الهجوم والاستجابة بسرعة لتقليل الضرر.

قال بوش لموقع VentureBeat: “بينما تقوم التكنولوجيا بدورها من خلال الكشف عن البرامج الضارة وعزلها وإزالتها ، أعتقد أن الطريقة الأكثر فاعلية في الوقاية هي الوعي بالأمن السيبراني”. يعتمد كلا البرنامجين الضارين على التفاعل مع المستخدم لإصابة شبكة أو نظام. إن تقليل هذا التفاعل من خلال تمكين الأشخاص من التعرف على التهديدات المحتملة يقطع شوطًا طويلاً في الحماية منها “.

Clumio ، على سبيل المثال ، يراقب ويكتشف وجود برامج ضارة emotet و omnatuor. تستخدم المنصة سلسلة أدوات لاكتشاف هجمات البرامج الضارة وإحباطها ، بما في ذلك تصفية البريد الإلكتروني ومراقبة الشبكة والجدار الناري وتحليلات السجلات من مصادر مختلفة.

وقال “لتقليل سطح الهجوم المحتمل ، نحاول أيضًا استخدام التطبيقات السحابية حيثما أمكن ذلك ، بدلاً من نشر التطبيقات محليًا”. “نحن نضمن أيضًا مراقبة الثغرات الأمنية وإصلاحها في أسرع وقت ممكن.”

المتغيرات من emotet و omnatuor كامنة

يتوقع LaSala أنه يجب توقع متغيرات جديدة لكل من emotet و omnatuor في عام 2023 ، وعادة ما تتطور متغيرات amalware.

قال لاسالا: “سيتم اكتشاف ناقلات الهجوم التي تتجاوز ما هو معروف اليوم غدًا ، ويمكننا أن نتوقع أن تستغل البرامج الضارة هذه الثغرات بسرعة”. “يجب أن تستمر المنظمات في توخي اليقظة وتنفيذ أدوات لحماية نفسها مع استمرار نمو البرامج الضارة وتغيرها.”

وبالمثل ، يتوقع كومار زيادة التصيد / الانتحال كنسبة مئوية من إجمالي الهجمات.

وأوضح كومار: “في حين أن أدوات الأمن السيبراني أصبحت أكثر تعقيدًا ، فإن النظافة الأمنية لم تواكبها”. “مع ظهور أدوات الذكاء الاصطناعي التوليدية ، نحتاج جميعًا إلى توخي الحذر الشديد من محاولات التصيد الاحتيالي التي قد لا يمكن تمييزها للوهلة الأولى عن الرسائل المشروعة.”

وقال إن مديري أمن المعلومات وقادة البيانات بحاجة إلى إعادة التفكير في الأمن – تعزيز ترسانتهم للأمن السيبراني وحماية البيانات من خلال المشاركة المستمرة وتثقيف الموظفين.