حملة جديدة من البرامج الضارة، أُطلق عليها اسم EtherRAT، تنتشر عبر الشبكة من خلال مواقع ويب تحاكي بشكل مثالي أدوات إدارية شرعية مستضافة على GitHub. يقوم المهاجمون بإنشاء نسخ مقلدة لصفحات مشاريع شائعة، مخادعين بذلك محترفي تكنولوجيا المعلومات الذين يثقون في المنصة كمصدر آمن. تتيح هذه أحصنة طروادة للوصول عن بُعد للمجرمين الإلكترونيين السيطرة على النظام، وسرقة المعلومات الحساسة، وتنفيذ الأوامر دون إثارة الشكوك.
طريقة عمل حصان طروادة EtherRAT 🕵️
يعمل EtherRAT كحصان طروادة نموذجي للوصول عن بُعد، لكن طريقة توزيعه هي ما يميزه. يقوم المهاجمون باستنساخ مستودعات شرعية من GitHub وتعديل عناوين URL بشكل طفيف لتبدو أصلية. بمجرد تنزيله، يُنشئ البرنامج الضار اتصالاً بخادم التحكم والقيادة، مما يسمح للمهاجم بسرقة بيانات الاعتماد، والتقاط ضغطات المفاتيح، ونقل الملفات. تمر العدوى دون أن تُلاحظ من خلال العمل بصمت في الخلفية، مستغلة الثقة الموضوعة في أدوات المصدر المفتوح.
عندما يكون استنساخ GitHub مزيفًا أكثر من ورقة نقدية من ثلاث يورو 😅
اتضح أن الحيلة القديمة المتمثلة في عمل نسخ مزيفة من مواقع الويب لا تزال ناجحة، والآن جاء دور GitHub. اكتشف المهاجمون أن مسؤولي الأنظمة واثقون مثل طفل في متجر حلوى. يكفي وضع شرطة سفلية إضافية في عنوان URL لنجد فريق تكنولوجيا معلومات بأكمله يقوم بتنزيل حصان طروادة. الأسوأ من ذلك أن EtherRAT لا يُحذر: فهو لا يُظهر نوافذ منبثقة ولا يطلب أذونات. ببساطة، يتم تثبيته، وبينما يتباهى الفني بأداته الجديدة، يكون المهاجم قد بدأ بالفعل في مراجعة كلمات المرور الخاصة به.