رسائل البريد الإلكتروني المزيفة للوظائف تُستخدم لنشر البرنامج الخبيث BeaverTail

Image by Brett Jordan, from Unsplash

رسائل البريد الإلكتروني المزيفة للوظائف تُستخدم لنشر البرنامج الخبيث BeaverTail

Reading Time: 2 min

First published Apr 7, 2025

Updated 2 times since publishing

يستهدف هجوم سيبراني جديد الباحثين عن وظائف من خلال استخدام رسائل توظيف مزيفة لنشر البرامج الضارة المتنكرة على أنها ملفات مطور غير ضارة.

في عجلة من أمرك؟ ها هي الحقائق السريعة:

  • قام القراصنة بتقليد المجندين لنشر البرامج الخبيثة عبر مشاريع المطورين الوهمية.
  • استخدم المهاجمون روابط BitBucket لخداع الضحايا وجعلهم يقومون بتنزيل الملفات.
  • يمكن أن يسرق الباب الخلفي Tropidoor البيانات، ويأخذ لقطات الشاشة، ويقوم بتشغيل الأوامر.

يشرح خبراء الأمن السيبراني في ASEC، الذين كشفوا عن هذا البرنامج الضار أولاً، أن هذه الحادثة تمثل استراتيجية متزايدة حيث يتنكرون المهاجمين على أنهم إما مجندين أو أعضاء في مجتمعات المطورين.

ظهرت الحادثة لأول مرة في 29 نوفمبر 2024 عندما استخدم القراصنة هوية Dev.to للتظاهر بأنهم مطوري المنصة.

أرسل المهاجمون رسائل بريد إلكتروني تحتوي على روابط مستودعات الكود الخاصة بـ BitBucket والتي طلبوا من المستخدمين مراجعة المشروع. كانت ملفات المشروع تحتوي على برامج ضارة مخفية تم تنكيرها كملفات مشروع عادية.

تضمنت الملفات المزيفة خطرين رئيسيين: برمجية خبيثة تعتمد على JavaScript تدعى BeaverTail، متنكرة تحت اسم ملف “tailwind.config.js”، ومكون ثاني يُدعى car.dll، الذي يعمل كجهاز تنزيل. عند فتحها، تعمل هذه الملفات معًا على سرقة تفاصيل تسجيل الدخول، وبيانات المتصفح، وحتى معلومات محفظة العملات المشفرة.

“يُعرف أن BeaverTail يتم توزيعه في الغالب في هجمات الاحتيال المتنكرة على هيئة عروض عمل”، كما أوضح الباحثون في ASEC. لقد تم رصد الإصدارات السابقة من هذا الهجوم على منصات مثل LinkedIn.

تشكل البرامج الخبيثة تهديداً كبيراً لأنها تخفي هدفها الحقيقي من خلال تقليد عمليات النظام القياسية. تستخدم البرامج الخبيثة أدوات PowerShell و rundll32 ، والتي هي أدوات اساسية في نظام ويندوز، لتجنب الكشف عنها من قبل برامج مكافحة الفيروسات.

بعد اختراق النظام، تسترجع البرامج الخبيثة وتنفذ Tropidoor الذي يعمل كباب خلفي متقدم. ينشئ الأداة اتصالات مشفرة مع خوادم بعيدة أثناء تنفيذ أكثر من 20 أمرًا مختلفًا تشمل حذف الملفات وحقن رمز البرنامج والتقاط لقطات الشاشة.

“تقوم Tropidoor بجمع المعلومات الأساسية للنظام وتوليد مفتاح عشوائي بطول 0x20 بايت، والذي يتم تشفيره بواسطة مفتاح RSA عام”، هكذا قال الباحثون. تتيح هذه الاتصالات الآمنة للقراصنة التحكم في الأجهزة المصابة دون أن يلاحظ أحد.

تحث فرق الأمن الجميع على البقاء في حالة يقظة تامة في هذا الوقت. كن حذرًا من رسائل التوظيف غير المتوقعة، خاصة تلك التي تحتوي على روابط إلى مستودعات الأكواد أو تلك التي تطلب منك تنزيل ملفات المشروع. تحقق دائمًا من الشركة الرسمية قبل فتح أي محتوى.

Did you like this aricle? Rate It!
Average form Rating Comment 1 Average form Rating Comment 2 Average form Rating Comment 3 Average form Rating Comment 4 Average form Rating Comment 5

We're thrilled you enjoyed our work!

As a valued reader, would you mind giving us a shoutout on Trustpilot? It's quick and means the world to us. Thank you for being amazing!

Rate us on Trustpilot
0 Voted by 0 Users
Title
Comment
Thanks for your Feed Back