تم الكشف مؤخرًا عن حملة تصيد احتيالي تستخدم تنبيه أمان مزيف من أمازون لخداع الضحايا لتنفيذ أمر PowerShell. يقوم هذا الأمر بتنزيل ملف ضار يحمل اسم mysql.exe، والذي هو في الواقع برنامج HarborWatch Agent RAT. بعد تفعيله، يتواصل البرمجيات الخبيثة مع خادم التحكم والسيطرة، لنقل المعلومات من الجهاز المصاب. تعتمد الحملة بذكاء على نطاقات مشابهة وتستغل المستخدمين لإصابة أنفسهم دون قصد، متجاوزةً طرق الكشف التقليدية المعتمدة على المرفقات. وقد تتبع التحقيق العملية من عنوان المرسل المزيف إلى النطاقات الضارة، وأداة تنزيل PowerShell، وفي النهاية إلى حمولة البرمجيات الخبيثة. كشفت التحليلات أن mysql.exe يتواصل مع خادم عند عنوان IP 185.193.127.44، مستخدمًا مسارات API محددة. يُنصح المؤسسات بحظر هذه النطاقات وعناوين IP الضارة، وتقييد تنفيذ PowerShell، وتعزيز تدابير أمان البريد الإلكتروني لمنع انتحال العلامات التجارية. في حالة الكشف، يجب عزل الأنظمة المتضررة، إنهاء عملية البرمجيات الخبيثة، وجمع الأدلة الجنائية. ينبغي إبلاغ المستخدمين عن أسلوب التصيد الاحتيالي، وتحديث الدفاعات لمواجهة تهديدات مشابهة.
كيف ينقل تنبيه أمازون المزيف برنامج التجسس HarborWatch Agent RAT؟
