ارتفاع ملحوظ في هجمات الإحتيال عبر WeTransfer يهدد الحسابات البنكية 

الفهرس

مقدمة

تستمر الحمولات الضارة Malicious Payloads التي يتم تسليمها عبر هجمات التصيُّد الاحتيالي عن طريق البريد الإلكتروني في زيادة الوصول إلى البنى التحتية الحساسة التي تؤدي لاختراق البيانات للأفراد والمؤسسات. 

ففي الربع الأول من عام 2021، ساهمت أساليب الهجوم بما فيها حملات البرمجيات الضارة في زيادة عدد الأفراد المتأثرين بتسرب البيانات بنسبة 564 بالمئة، بالإضافة إلى زيادة  في الاختراق المعلن عنه بنسبة 12 بالمئة.

رسم بياني يوضح نسبة ارتفاع الاصابات ببرمجية ZLoader الخبيثة خلال الربع الأول من عام 2021

و خلال هذه الفترة، انتشرت هجمات البرمجيات الخبيثة عبر البريد الإلكتروني بشكلٍ واسع، مع ملاحظة ارتفاع إرسال البرمجيات الخبيثة باستخدام منصة WeTransfer عبر مجموعة واسعة من الحسابات المخترقة، حيث يتم تسليم حمولة تحوي على برمجية خبيثة تدعى ZLoader ليقوم الضحية بتنزيل الملفات على حاسوبه الشخصي ،ومن ثُمَّ تنفيذ عملية الاختراق، حيث شكَّلت الإصابة بهذه البرمجية ما يقارب 65 بالمئة من جميع أنشطة هجمات الحمولات الضارة Malicious Payloads المُبلغ عنها.

ما هي برمجية ZLoader الخبيثة

تعتبر برمجية ZLoader من أكثر  البرمجيات انتشاراً خلال جائحة كورونا، بالرغم من أنَّه  تمَّ اكتشافها لأول مرة في عام 2011، و تُصنَّف هذه البرمجية  بأنَّها حصان طروادة مصرفي Banking Trojan، يقوم بسرقة الاعتمادات البنكية للضحية، حيث بدأ تركيز الهجمات في كندا في مطلع عام 2020، وبعد ذلك توسعت الرقعة الجغرافية للعمليات لتطال جميع المؤسسات المالية في الولايات المتحدة، وأُستراليا، وأوروبا، وصولاً إلى جميع أنحاء العالم.

أكثر البرمجيات الخبيثة انتشاراً خلال الربع الأول من عام 2021

كيف يعمل ZLoader

تقوم هذه البرمجية بجمع معلومات الضحية البنكية عن طريق مراقبة متصفح الإنترنت، من ثم استخدام تقنية Web injection لخداع الضحايا، وذلك للكشف عن رموز المصادقة الخاصة بهم، حيث يستبدل Zloader موقع الويب المصرفي للضحية بنسخة مطابقة يتم جلبها من ملف مخصص من قِبل المهاجم، و ما أن تقوم الضحية بالتخلي عن بيانات الاعتماد ظناً منها بأنها تقوم بتسجيل الدخول إلى حسابها البنكي، حتى يتم إرسال هذه المعلومات الحساسة إلى المهاجم، بما في ذلك رموز المصادقة.

بالإضافة إلى ذلك ، يمكن لـ Zloader جلب المعلومات من المتصفحات والوصول إلى ملفات تعريف الإرتباط وكلمات المرور وهي وظيفة قياسية لدى أحصنة طروادة المصرفية.

المثير في هذه العملية أنَّ المهاجم يقوم  بتسجيل الدخول إلى حساب الضحية دون تفعيل الإنذارات Red Flags لدى المصرف، حيث يقوم المهاجم بتسجيل الدخول عن طريق تقنية حوسبة الشبكات الافتراضية VNC، وبهذه الطريقة لا يمكن للمصرف سوى أنْ يرى بأنَّها جلسة تسجيل دخول طبيعية من حاسوب الضحية نفسها وباستخدام المعلومات الصحيحة.

رسم توضيحي يشرح آلية عمل الـ VNC
فيديو يوضح تسلسل خطوات الإصابة ببرمجية Zloader بواسطة ملف ايكسل | Any.run

تمييز البرمجيات الضارة المرسلة عبر WeTransfer

 تعتبر التوعية من المخاطر ونشر ثقافة الاستخدام الأمثل للخدمات الالكترونية، هي الخط الدفاعي الأول لحماية الأفراد، والمؤسسات بما يتعلق في موضوع الحماية من الاختراق.

حيث يجب مراعاة عدة قواعد بسيطة عند التعامل مع أي عملية نقل بيانات عبر WeTransfer وهي:

  • هل تتوقع أنْ يصلك ملفات، أم أنَّ هذه الملفات قد أتت من العدم؟ إذا لمْ تكن تتوقع استلامك لملفات، تصرَّف بحذر.
  • عند تلقيك لملفات،تأكد من عنوان بريد المرسل، هل تعرف من هو الشخص الذي قام بإرسالها؟
  • قد تتعرف على اسم المرسل، لكن البريد الإلكتروني الخاص بالمرسل مختلف عما تعرفه، تحقق دائماً من صحة البريد الالكتروني الخاص بالمرسل.
  • هل الملفات التي استلمتها حجمها صغير من فئة الكيلوبايت KB؟ إذا كان الجواب نعم، تصرَّف بحذر.
  • هل تحتوي الرسالة الإلكترونية التي تلقيتها على رابط غريب أو طويل جداً أو يقودك إلى موقع غير WeTransfer؟ لا تقم بفتح هذا الرابط.
صورة توضح رسالة الكترونية احتيالية

مثال عن رابط احتيالي

hxxps://wetransfer[.]com/downloads/52d55eeb42591d9ebbffe5326326858320210218183005/8b80cbbd9c1b8f7695b8de69e995ebee20210218183005/8c0cd5utm_campaign=WT_email_tracking&utm_content=general&utm_medium=download_button&utm_source=notify_recipient_email

ملاحظة: تم استبدال https بـ hxxps و .com بـ [.]com  لتجنب تفعيل الرابط وجعله قابل للاستخدام أو الاكتشاف من قبل مضادات الفيروسات.

كيف تحمي نفسك أثناء التحميل من WeTransfer

  • لا تقم بفتح أي ملفات لا تتوقع اسْتلامها، أو لا تستطيع التعرف على مرسل هذه الملفات، في حال اسْتلامك لملفات من شخص تعرفه لكن بدون سبب أو تنسيق مسبق، قم بالتواصل معه للتأكد من أنَّه فعلاً قام بإرسال هذه الملفات لك.
  • كن حذراً عند استلام ملفات صغيرة الحجم من فئة الكيلوبايت، حتى لو كانت ملفات من نوع Docx, Xlsx, Pdf, Jpg, الخ..
  •  تأكد من عنوان البريد الإلكتروني للمرسل، في حال ملاحظتك لوجود بريد إلكتروني آخر كنسخة CC أو نسخة مخفية BCC، لا تقم بفتح الرابط أو الضغط على زر التحميل، WeTransfer لا تقم بإرسال نسخ.
  • في حال كنت مشتركاً في  خدمة WeTransfer المدفوعة وقمت باستلام رسالة إلكترونية باسْم WeTransfer Plus قم بتجاهل هذه الرسالة، فقد تم تغيير اسم الخدمة من WeTransfer Plus إلى WeTransfer Pro
  • في حال استلامك لملف وتم طلب إدخال بريدك الإلكتروني وكلمة مرور قم بتجاهل هذه العملية، إلّا إذا كان الملف محمياً بكلمة مرور، تواصل مع الشخص المرسل للتأكد من أنه قد قام بتفعيل ميزة حماية التحميل بكلمة مرور. 
  •  WeTransfer لا تقدم ميزة الدعم التقني عبر الهاتف، في حال تلقيك لاتصال هاتفي يدَّعي أنَّه من طرف WeTransfer قم بتجاهله.
  • تأكد من تنصيب برنامج مضاد للفيروسات على حاسبك الشخصي مع بقائه محدثاً طيلة الوقت.

المصادر والمراجع

Surge in ZLoader Attacks Observed | PhishLaps

https://info.phishlabs.com/blog/surge-in-zloader-attacks-observed

ZLoader Dominates Email Payloads in Q1 | PhishLaps

https://info.phishlabs.com/blog/zloader-dominates-email-payloads-in-q1

Alert (AA21-076A) | CISA

https://us-cert.cisa.gov/ncas/alerts/aa21-076a

TrickBot Malware | CISA

https://us-cert.cisa.gov/sites/default/files/publications/AA21-076A-TrickBot_Malware_508.pdf

Zloader | Any.run

https://any.run/malware-trends/zloader?fbclid=IwAR2PRG6gUGUfcG3eDth9g8RsKwA76VtoUxxer3ylBvC-iZyjnnW3sPprvpQ

How to recognize malicious files which are spam | WeTransfer

https://wetransfer.zendesk.com/hc/en-us/articles/208554156-How-to-recognise-malicious-files-which-are-spam

Phishing attempts and other weird WeTransfer imitations | WeTransfer

https://wetransfer.zendesk.com/hc/en-us/articles/208554176-Phishing-attempts-and-other-weird-WeTransfer-imitations

How to recognize malicious files which are spam | WeTransfer

https://wetransfer.zendesk.com/hc/en-us/articles/208554156

شارك هذا المقال

Facebook
Twitter
LinkedIn