تقنى

مكالمات دعم فني مزيفة عبر Microsoft Teams تقود إلى تثبيت EtherRAT للوصول عن بُعد

تكشف تقارير حديثة عن استغلال مكالمات صوتية عبر Microsoft Teams كواجهة لادعاء الدعم الفني لشركات، بهدف خداع موظفين والسماح بالوصول عن بُعد إلى أجهزتهم. الحملة تجمع بين رسائل البريد الاحتيالي، ومكالمات Teams، وأدوات وصول عن بُعد شرعية، ومُحمّلة عبر مُثبت MSI خبيث يعمل كـ loader للبرمجيات، وتُسلم في نهاية المطاف EtherRAT كــ Trojan وصول عن بُعد عبر منصات متعددة.

Fake Microsoft Teams IT Support Calls Push EtherRAT Malware

تبدأ الهُجوم برسالة بريد إلكتروني احتيالية بنمط «استبيان موظفين»، وتحتوى على مرفق PDF خبيث. عند فتح المستلم للمرفق، يتواصل المُهاجِم عبر مكالمة Teams من حساب خارجي يدَّعى أنه مسؤول النظام، محاولاً إقناع الضحية بأن الدعم الفني مطلوب.

خلال مكالمة Teams، يظهر المراجعون وجود علامة «External unfamiliar» التي تدل على أن المتصل خارج نطاق tenants الشركة. رغم ذلك، يسعى المحتال لكسب الثقة وإقناع المستخدم بالسماح بمشاركة الشاشة عبر ميزة المشاركة المدمجة في Teams. بمجرد منح الوصول، يستطيع المهاجم التفاعل مع النظام مباشرة.

Microsoft Teams EtherRAT Malware
Image credit: Microsoft

بعد الدخول، يرشد المهاجم الضحية إلى تثبيت أدوات وصول عن بُعد شرعية مثل HopToDesk وAnyDesk؛ وتُستخدم هذه الأدوات بشكل مشروع عادة، لكنها تُسْتَخدم أحياناً لإبقاء الوصول مفتوحاً حتى انتهاء جلسة البداية.

ثم يقوم المهاجم بتنزيل وتشغيل مُثبت MSI خبيث يعمل كمُحمِّل للبرمجيات وفي النهاية يطلق EtherRAT، وهو Trojan وصول عن بُعد قائم على Node.js ومصمم للعمل عبر منصات متعددة. عند تفعيل EtherRAT، يتيح للمهاجمين تنفيذ أوامر، والتلاعب بالملفات، وسرقة البيانات، والحفاظ على وجودهم في الأجهزة المصابة.

اعتمد EtherRAT على آلية تحكم ونشر قائمة على عقود Ethereum الذكية لجلب خوادم التحكم والسيطرة active، ما يجعل تعطيله أكثر تعقيداً للمُدافعين، إذ لا يمكن الاعتماد على وقف خادم واحد فقط. كما أُشير إلى وجود عدة نسخ من مُثبت البرمجيات الخبيثة، ما يوحي بأن الحملة ما تزال قيد التطوير والتحسين. وتُظهر هذه الحملة كيف ينتقل المهاجمون من روابط التصيد البسيطة إلى أساليب هندسة اجتماعية أكثر تفاعلاً باستخدام حسابات خارجية وميزة مشاركة الشاشة وأدوات وصول عن بُعد موثوقة.

تجدر الإشارة إلى أن أساليب الهجوم تتطور، وأن التحذيرات تزداد بخصوص مكالمات Teams غير المتوقعة من خارج المؤسسة، خاصة إذاطُلِبَ التحكم بالشاشة أو تثبيت أدوات وصول عن بُعد. كما تُشير تقارير الأمن إلى استغلال تدفقات OAuth في هجمات التصيد، وهو اتجاه يجدر به المحترفون والموظفون انتباهه وتوخي الحذر منه.

زر الذهاب إلى الأعلى