كشف باحثون عن موجة جديدة من التصيد الموجه عبر رسائل بريد إلكترونى ترمى لسرقة أموال الشركات، وضربت موجة الهجمات هذه ما لا يقلّ عن ٤٠٠ شركة صناعية أغلبها فى روسيا.
ويقوم المجرمون الإلكترونيون الذين يقفون وراء هذه الهجمات بتمويه الرسائل وإظهارها كرسائل أصلية مرسلة لأغراض تتعلق بالمشتريات والمحاسبة. ووجد الباحثون أن سلسلة الهجمات هذه بدأت خريف العام الماضى واستهدفت بضع مئات من أجهزة الحاسوب فى شركات ضمن قطاعات صناعية عدة بينها النفط والغاز، والمعادن، والطاقة، والبناء والتشييد، والخدمات اللوجستية.
ولم تستهدف هجمات التصيّد الشركات الصناعية عشوائيًا ضمن مجموعة شركات أخرى، وإنما كانت الهجمات موجهة، وركزت على الشركات المستهدفة بعينها. وقد أرسل المجرمون رسائل إلكترونية تحوى مرفقات خبيثة فى محاولة لإغراء الضحايا تقديم بياناتهم الخاصة التى من الممكن استخدامها بعد ذلك لجنى المال.
واستهدفت هذه الموجة من الرسائل الإلكترونية قرابة ٨٠٠ من حواسيب الموظفين بهدف سرقة المال والبيانات الخاصة من الشركات، والتى يمكن اللجوء إليها لاحقًا لاستخدامها فى هجمات جديدة، وفقًا لبيانات كاسبرسكى لاب. وجرى تمويه هذه الرسائل لتبدو كرسائل أصلية تتعلق بمسائل تهم أقسام المشتريات والمحاسبة فى الشركات، وقد تماشى محتواها مع طبيعة عمل الشركات المستهدفة، وتمّ أخذ شخصية الموظف المستهدف الذى سيتسلم الرسالة، فى الحسبان عند تجهيزها، بل إن الرسائل الخبيثة هذه خاطبت الضحايا المستهدفين بأسمائهم، وهو ما يشير إلى أن الهجمات قد جرى التحضير لها بعناية كبيرة، وخلال مُهل استغرقت ما يكفى من الوقت لضمان تحقيق أهدافها عبر إعداد رسائل شخصية.
وحين ينقر المستلم على المرفقات الخبيثة لفتحها، تقوم خِفية بتنزيل برمجيات أصلية كانت خضعت للتعديل وتثبتها على الحاسوب المستهدف حتى يتمكن المجرمون من الاتصال به، وتفحّص ملفاته وبرمجياته المتعلقة بالمشتريات والشئون المالية والمحاسبية. وسعى المهاجمون من خلال الهجمات إلى البحث عن طرق مختلفة للإتيان بمحاولات احتيال مالي، مثل إجراء تغييرات فى شروط فواتير الدفع للتمكّن من الحصول على الأموال لمصلحتهم. كذلك حمّل المهاجمون مجموعات إضافية من البرمجيات الخبيثة المجهزة خصيصًا للهجوم على كل ضحية لاستخدامها فى حال احتاجوا إلى بيانات أو صلاحيات إضافية، مثل الحصول على حقوق إدارية أو سرقة بيانات الدخول وحسابات «ويندوز» التابعة للمستخدمين، بُغية التحرك بحرّية داخل الشبكات. وشملت تلك المجموعات برمجيات تجسس وأدوات تحكّم إدارى تعمل عن بُعد لتمديد تحكّم المهاجمين فى الأنظمة المصابة، وبرمجياتٍ خبيثةٍ أخرى لاستغلال الثغرات فى نظام التشغيل، بالإضافة إلى أداة Mimikatz التى تسمح للمستخدمين بالحصول على البيانات من حسابات «ويندوز».
