تستهدف حملة التصيد الاحتيالي "PerSwaysion" مديرين تنفيذيين رفيعي المستوى

by admin3739

  • تعمل حملة التصيد الاحتيالي الجديدة بشكل جيد بشكل مثير للإعجاب وتتحرك بسرعة ، وتستهدف المديرين التنفيذيين للشركة.
  • يقوم الممثلون الضارون بإساءة استخدام Microsoft Sway لإنشاء صفحات مقنعة لمشاركة Office 365.
  • بالفعل ، قدم 156 من أعضاء الإدارة رفيعة المستوى بيانات اعتماد تسجيل الدخول إلى البريد الإلكتروني.

تسمى "PerSwaysion" بسبب إساءة استخدام Microsoft Sway على نطاق واسع ، وقد كانت حملة التصيد عالية الاستهداف هذه اكتشفها Group-IB، ويبدو أن هذه واحدة من أكثر الحملات فاعلية من نوعها. تعتقد شركة الأمن السيبراني السنغافورية أن "PerSwaysion" مستمر منذ منتصف عام 2019 على الأقل ، في حين أنهم رأوا بعض الارتباط مع مجموعات القرصنة الفيتنامية وجنوب إفريقيا والنيجر. يستخدم الممثلون حسابات البريد الإلكتروني المخترقة للانخراط في عمليات BEC ضد الأهداف الذين يشغلون مناصب مهمة في الشركات التي يعملون فيها. أما بالنسبة للصناعات المستهدفة ، فهي في الأساس مكاتب محاماة وشركات عقارية وتلك التي تقدم خدمات مالية واستشارية.

  
perswaysion_campaign_map "width =" 696 "height =" 348 "data-srcset =" https://cdn.technadu.com/wp-content/uploads/2020/05/perswaysion_campaign_map-1024x512.jpg 1024w، https: // cdn. technadu.com/wp-content/uploads/2020/05/perswaysion_campaign_map-300x150.jpg 300w ، https://cdn.technadu.com/wp-content/uploads/2020/05/perswaysion_campaign_map-768x384.jpg 768w ، https: //cdn.technadu.com/wp-content/uploads/2020/05/perswaysion_campaign_map-200x100.jpg 200 واط ، https://cdn.technadu.com/wp-content/uploads/2020/05/perswaysion_campaign_map-696x348.jpg 696 واط ، https://cdn.technadu.com/wp-content/uploads/2020/05/perswaysion_campaign_map-1068x534.jpg 1068w ، https://cdn.technadu.com/wp-content/uploads/2020/05/perswaysion_campaign_map -840x420.jpg 840 واط ، https://cdn.technadu.com/wp-content/uploads/2020/05/perswaysion_campaign_map.jpg 1500w "أحجام =" (الحد الأقصى للعرض: 696 بكسل) 100 فولت / 696 بكسلالمصدر: Group-IB

لا ينطوي الأمر على زراعة برامج ضارة ، حيث يحدث كل شيء من خلال رسائل البريد الإلكتروني وصفحات التصيّد فقط ، لذلك ينتقل التهديد من هدف إلى آخر بسرعة كبيرة. تقول Group-IB أن الممثلين بارعون جدًا في هذا الأمر ، بحيث يحتاجون عادةً إلى أقل من 24 ساعة لإجراء جولة تصيد جديدة استنادًا إلى أوراق الاعتماد التي قاموا بجمعها في الجولة السابقة. المجموع ، تم اختراق 156 من كبار التنفيذيين من قبل PerSwaysion ، مما مهد الطريق لهجمات سلسلة التوريد ضد العملاء والمقاولين.

في أحد الأمثلة المقدمة ، يرسل الممثلون مرفق بريد إلكتروني بتنسيق PDF غير ضار إلى المديرين التنفيذيين للشركات من حساب بريد إلكتروني مخترق. الرسالة قصيرة ، ويتم إنشاء الإعلام في MS Sway ، وقد تم إعداده بطريقة تبدو وكأنها صفحة مشاركة ملفات Microsoft Office 365 أصلية. في الواقع ، يستخدم الممثلون شريحة عرض تقديمي ، يسيئون استخدام ميزة "العرض بلا حدود" لإخفاء هذه الحقيقة عن المستلمين. بعد النقر على "اقرأ الآن" ، يتم نقل الضحايا إلى صفحة التصيد الاحتيالي ، وهي صفحة مخادعة لتسجيل الدخول الأحادي لـ Microsoft. إذا حاولت الضحية زيارة عنوان URL نفسه ، فسيتم حظرها ، نظرًا لوجود رقم تسلسلي فريد في مجموعة التصيد الاحتيالي يخصص رمز وصول واحدًا لكل هدف.

microsoft_sway_trick "width =" 696 "height =" 492 "data-srcset =" https://cdn.technadu.com/wp-content/uploads/2020/05/microsoft_sway_trick-1024x724.jpg 1024w، https: // cdn. technadu.com/wp-content/uploads/2020/05/microsoft_sway_trick-300x212.jpg 300w ، https://cdn.technadu.com/wp-content/uploads/2020/05/microsoft_sway_trick-768x543.jpg 768w ، https: //cdn.technadu.com/wp-content/uploads/2020/05/microsoft_sway_trick-200x141.jpg 200w، https://cdn.technadu.com/wp-content/uploads/2020/05/microsoft_sway_trick-100x70.jpg 100 واط ، https://cdn.technadu.com/wp-content/uploads/2020/05/microsoft_sway_trick-696x492.jpg 696w ، https://cdn.technadu.com/wp-content/uploads/2020/05/microsoft_sway_trick -1068x755.jpg 1068w ، https://cdn.technadu.com/wp-content/uploads/2020/05/microsoft_sway_trick-594x420.jpg 594w ، https://cdn.technadu.com/wp-content/uploads/2020 /05/microsoft_sway_trick.jpg 1500w "أحجام =" (الحد الأقصى للعرض: 696 بكسل) 100 فولت / 696 بكسلالمصدر: Group-IB

يقول Group-IB أن هذه الطريقة تعمل بشكل جيد لدرجة أن التهديد ينتشر مثل حرائق الغابات في الوقت الحالي. لتسريع العملية الخبيثة ، يقوم الممثلون بتفريغ أي بيانات اعتماد تم الحصول عليها حديثًا عبر واجهة برمجة التطبيقات ، وإنشاء اتصال الأعمال ، ثم إنشاء ملفات PDF للتصيد الاحتيالي مع جميع التفاصيل المضمنة (الأسماء ، رسائل البريد الإلكتروني ، اسم الشركة).

أبلغت شركة الأمن السيبراني بالفعل الشركات المتضررة بالحل الوسط الذي عانى منه المسؤولون التنفيذيون ونصحتهم بتطبيق خطوات مصادقة 2FA. إذا كانت شركتك تستخدم الخدمات السحابية ، فيجب عليك اتخاذ جميع الإجراءات الممكنة للتخفيف من مخاطر سرقة بيانات اعتماد تسجيل الدخول ، حيث قد تكون العواقب وخيمة.