مرسلو البريد غير المرغوب فيه يستخدمون أداة السرقة Agent Tesla
كشفت كاسبرسكي عن حملة غير عادية من حملات البريد الإلكتروني غير مرغوب فيه استهدفت مؤسسات في جميع أنحاء العالم. وحاكت الرسائل التي وظفتها الحملة رسائل البريد الإلكتروني الواردة من الموردين أو أصحاب المصلحة، فيما حاول المهاجمون سرقة بيانات تسجيل الدخول من المؤسسات المستهدفة باستخدام أداة السرقة الرقمية سيئة السمعة Tesla stealer. وقد تُعرض بيانات الاعتماد المسروقة للبيع في منتديات الويب المظلم أو تُستخدم في الهجمات الموجهة ضد هذه المؤسسات.
ويستثمر مجرمو الإنترنت جهودهم اليوم في حملات جماعية للبريد غير المرغوب فيه، ويقدّم تحقيق أجرته حديثاً كاسبرسكي، دليلاً واضحاً على ذلك. فقد تضمنت حملة البريد الإلكتروني غير المرغوب فيه التي كشفت عنها الشركة، والتي تستهدف مؤسسات مختلفة، رسائل تقلّد بطريقة متقنة الاستفسارات التجارية الواردة من شركات معروفة. كذلك، استخدم المهاجمون البرمجية الخبيثة Agent Tesla Stealer، التي تُعدّ تروجانًا يُستخدم في التجسس، مصمماً لسرقة بيانات اعتماد الدخول إلى الحسابات، والحصول على لقطات للشاشة والتقاط البيانات من كاميرات الويب ولوحات المفاتيح. وتوزّع الحملة هذه البرمجية باعتبارها “أرشيف استخراج ذاتي” مرفق برسائل البريد الإلكتروني المفخخة.
ويستخدم شخص يتظاهر بأنه عميل ماليزي محتمل، في مثال على رسائل هذه الحملة، مجموعة غريبة من الكلمات الإنجليزية ليطلب من المستلم مراجعة بعض متطلبات العملاء وموافاته بالمستندات المطلوبة. ويتوافق التنسيق العام للرسالة مع معايير مراسلات الشركات؛ فهناك شعار لشركة حقيقية وتوقيع يتميز بتفاصيل المرسل. بشكل عام، يبدو الطلب رسمياً وصادقاً، في حين أن الأخطاء اللغوية يمكن أن تُعزا بسهولة إلى أن المرسل ليس من الناطقين بالإنجليزية.
لكن الشيء الوحيد المثير للشبهة في البريد الإلكتروني كان عنوان البريد الإلكتروني للمرسل، والذي يبدأ بكلمة newsletter، التي تعني “رسالة إخبارية”، ما يجعله عنواناً لا يصلح لمراسلات تتعلق بالمشتريات. كذلك، يختلف اسم النطاق للمرسل عن اسم الشركة في الشعار.
في بريد إلكتروني آخر، يجري عميل بلغاري مزعوم استفساراً حول توفر بعض المنتجات والعروض لمناقشة تفاصيل الصفقة، زاعماً أن قائمة المنتجات المطلوبة موجودة في المرفق، كما في العينة السابقة. وينتمي عنوان المرسل، المثير بدوره للشبهة، إلى نطاق يوناني لا بلغاري، ويبدو بوضوح أنه لا علاقة له باسم الشركة التي يستخدم مرسلو الرسائل اسمها.
ويتضح أن الرسائل أرسلت من مجموعة محدودة من عناوين بروتوكول الإنترنت، واحتوت مرفقاتها على البرمجية الخبيثة نفسها، Agent Tesla، ما جعل الباحثين يرون أن كل هذه الرسائل كانت جزءاً من حملة واحدة موجّهة.
وأكّد رومان ديدينوك خبير الأمن لدى كاسبرسكي، أن Agent Tesla أداة شائعة للسرقة، وغالباً ما تستخدم للحصول من المؤسسات التي تصيبها على بيانات اعتماد الدخول وكلمات المرور إلى مختلف الحسابات المؤسسية، مشيراً إلى أنها معروفة منذ العام 2014، وأن مرسلو الرسائل غير المرغوب فيها يحرصون على نشرها على نطاق واسع في الهجمات الجماعية. وقال: “اعتمد مجرمو الإنترنت في هذه الحملة بالتحديد على الأساليب النموذجية المتبعة في الهجمات الموجهة، فقد حرصوا على تصميم رسائل البريد الإلكتروني المرسلة خصيصاً إلى شركة ما بطريقة تجعلها بالكاد تختلف عن تلك الرسائل الرسمية”.
هذا، وتكتشف منتجات كاسبرسكي أداة السرقة Agent Tesla بالاسم Trojan-PSW.MSIL.Agensla.
يمكن الاطلاع على Securelist لمعرفة المزيد عن Tesla Stealer.
وتوصي كاسبرسكي باتباع التدابير التالية للحماية من حملات البريد الإلكتروني غير المرغوب فيه:
• تزويد الموظفين بالتدريب الأساسي على السلامة في مجال الأمن الرقمي، وإجراء محاكاة لهجوم تصيّد للتأكد من أنهم يعرفون كيفية تمييز رسائل البريد الإلكتروني المخادعة عن غيرها.
• استخدام حلّ حماية للأجهزة المتصلة بالشبكة ولخوادم البريد، مزوّد بقدرات مكافحة التصيّد، مثل Kaspersky Endpoint Security for Business، لتقليل فرصة الإصابة من خلال رسائل التصيد عبر البريد الإلكتروني.
• في حال استخدام خدمة Microsoft 365 السحابية، تجب حمايتها أيضًا. ويتضمن الحلّ Kaspersky Security for Microsoft Office 365 أداة مخصصة لمكافحة البريد غير المرغوب فيه والتصيّد، وحماية تطبيقات SharePoint وTeams وOneDrive، من أجل ضمان سلامة الاتصالات.