تم استخدام فيديو كوكاكولا Coca-Cola دعائي لشهر رمضان لتوزيع البرمجية الخبيثة من نوع حصان طروادة اوركوس Orcus RAT في حملة هجوم حديثة


تم اكتشاف حملة ضارة جديدة تستخدم لتوزيع برمجية خبيثة من نوع حصان طروادة اوركوس Orcus Remote Access Trojan (RAT)  في الآونة الأخيرة.  تم تسمية مجموعة قراصنة بأسم  بيوسيكوراك  PUSIKURAC على انها من وراء هذه الحملة وبدأت عن طريق حقن البرمجية الخبيثة malware في فيديو دعائي لكوكاكولا Coca-Cola لشهر رمضان .

وفقا لشركة الأمن السيبراني مورفيسك Morphisec ، يخفي المهاجمون حصان طروادة اوركوس  داخل فيديو لكوكا كولا وبمجرد أن ينقر المستخدم على الفيديو ، تبدأ سلسلة من العمليات التنفيذية وعمليات التنزيل والتي تشمل:

  • استخدام آلية لتجاوز التحكم في حساب المستخدم UAC للبحث عن عملية تنفيذية process  ذات امتيازات أعلى في الجهاز والاستحواذ عليها.
  • استخدام العملية التنفيذية المكتشفة لتنزيل الفيديو المصاب بالبرمجية الخبيثة
  • تنزيل وتنفيذ البرمجية الخبيثة التي تأتي مرفقة بالفيديو
  • جمع البيانات وإرسالها مرة أخرى إلى خوادم C2 servers

وأشار الباحثون إلى أن حصان طروادة اوركوس يستخدم آلية تجاوز التحكم في حساب المستخدم UAC  على مدى العامين الماضيين لتجنب اكتشافه من قبل البرامج الامنية .

كما قال الباحثون في مورفيسك  في منشورعلى مدونتهم :” يركز ممثل التهديد هذ بشكل خاص على سرقة المعلومات وتفادي دوت نيت (.NET evasion) استنادًا إلى سلاسل فريدة من نوعها داخل البرمجية الخبيثة أطلقنا على المجموعة أسم بيوسيكوراك PUSIKURAC.  قبل تنفيذ الهجمات ، تقوم بيوسيكوراك بتسجيل المجالات domains من خلال خدمات استضافة نظام أسماء النطاقات المجانيه  FreeDns. كما يستفيد من خدمات تخزين النصوص المجانية المشروعة مثل بايست paste ، والتوقيع على ملفاتها التنفيذية ، ويستخدم بشكل ضار و مكثف مضغوطات تنفيذية برمجية تجارية من نوع دوت نيت (.NET packers) وتضمين حمولات ضارة داخل ملفات الفيديو والصور ” .

يمكن أن يؤدي الهجوم الناجح إلى تمكين حصان طروادة اوركوس من القيام بالعديد من الأنشطة الشائنة. ويشمل ذلك سرقة ملفات تعريف الارتباط للمتصفح وكلمات المرور ، وإطلاق اختبارات الإجهاد على الخادم لهجمات الحرمان من الخدمة الموزعةDDoS ، وتعطيل نشاط كاميرا الويب ، وتسجيل مدخلات الميكروفون ، وتحايل وتزييف ملحقات الملفات spoofing file extensions ، وتسجيل ضغوطات لوحة المفاتيح .

 

 

المصدر:

https://cyware.com/news/ramadan-themed-coca-cola-video-used-to-distribute-orcus-rat-in-a-recent-attack-campaign-cbd86d7f

ان كان لديكم اي استفسار او سؤال الرجاء مراسلتنا عبر التعليقات في اسفل الشاشة

للتعليقات

هذا الموقع يستخدم Akismet للحدّ من التعليقات المزعجة والغير مرغوبة. تعرّف على كيفية معالجة بيانات تعليقك.

CyberArabs عضو في:

للتبليغ

سجل في نشرتنا الشهرية

%d مدونون معجبون بهذه: