يستخدم قراصنة SideWinder تطبيقات VPN المزيفة لنظام Android لاستهداف الكيانات الباكستانية
أضاف ممثل التهديد المعروف باسم SideWinder أداة مخصصة جديدة إلى ترسانته من البرامج الضارة التي يتم استخدامها في هجمات التصيد الاحتيالي ضد كيانات القطاعين العام والخاص الباكستانية.
قالت شركة الأمن السيبراني Group-IB ومقرها سنغافورة في تقرير يوم الأربعاء : “روابط التصيد الاحتيالي في رسائل البريد الإلكتروني أو المنشورات التي تحاكي الإخطارات والخدمات المشروعة للوكالات الحكومية والمنظمات في باكستان هي ناقلات الهجوم الرئيسية للعصابة” .
SideWinder ، الذي تم تتبعه أيضًا تحت الألقاب Hardcore Nationalist و Rattlesnake و Razor Tiger و T-APT-04 ، نشط منذ عام 2012 على الأقل مع التركيز بشكل أساسي على باكستان ودول آسيا الوسطى الأخرى مثل أفغانستان وبنغلاديش ونيبال وسنغافورة و سيريلانكا.
في الشهر الماضي ، عزت Kaspersky إلى هذه المجموعة أكثر من 1000 هجوم إلكتروني وقع في العامين الماضيين ، بينما دعت إلى استمرارها وتقنيات التعتيم المعقدة.
تتضمن طريقة عمل عامل التهديد استخدام رسائل التصيد الاحتيالي الإلكترونية لتوزيع أرشيفات ZIP ضارة تحتوي على ملفات RTF أو LNK ، والتي تقوم بتنزيل حمولة تطبيق HTML (HTA) من خادم بعيد.
يتم تحقيق ذلك من خلال تضمين روابط احتيالية مصممة لتقليد الإخطارات والخدمات الشرعية للوكالات والمنظمات الحكومية في باكستان ، مع قيام المجموعة أيضًا بإعداد مواقع ويب شبيهة تتظاهر بأنها مواقع حكومية لجمع بيانات اعتماد المستخدم.
الأداة المخصصة التي حددتها Group-IB ، والتي يطلق عليها اسم SideWinder.AntiBot.Script ، تعمل كنظام اتجاه حركة المرور لتحويل المستخدمين الباكستانيين بالنقر فوق روابط التصيد إلى المجالات المارقة.
في حالة وجود مستخدم يختلف عنوان IP الخاص بعميله عن النقر الباكستاني على الرابط ، يقوم البرنامج النصي AntiBot بإعادة التوجيه إلى مستند أصيل موجود على خادم شرعي ، مما يشير إلى محاولة تحديد موقع أهدافه جغرافيًا.
قال الباحثون: “يقوم البرنامج النصي بفحص بيئة مستعرض العميل ، وبناءً على عدة معايير ، يقرر ما إذا كان سيتم إصدار ملف ضار أو إعادة التوجيه إلى مصدر شرعي”.
وتجدر الإشارة بشكل خاص إلى ارتباط التصيد الاحتيالي الذي يقوم بتنزيل تطبيق VPN يسمى Secure VPN (“com.securedata.vpn”) من متجر Google Play الرسمي في محاولة لانتحال شخصية تطبيق Secure VPN الشرعي (“com.securevpn.securevpn”).
في حين أن الغرض الدقيق من تطبيق VPN المزيف لا يزال غير واضح ، فهذه ليست المرة الأولى التي يتسلل فيها SideWinder إلى حماية متجر Google Play لنشر تطبيقات شريرة تحت ذريعة البرامج المساعدة.
في يناير 2020 ، قامت Trend Micro بتفصيل ثلاثة تطبيقات ضارة تم إخفاءها كأدوات للتصوير الفوتوغرافي ومدير الملفات والتي استفادت من ثغرة أمنية في Android ( CVE-2019-2215 ) للحصول على امتيازات الجذر بالإضافة إلى إساءة استخدام أذونات خدمة إمكانية الوصول لجمع المعلومات الحساسة.
إرسال التعليق