كشف باحثون في مجال الأمن السيبراني عن حملة إعلانات خبيثة تستهدف معلني مايكروسوفت عبر إعلانات غوغل وهمية مصممة لتوجيههم إلى صفحات تصيد تهدف إلى سرقة بيانات اعتمادهم. تم الإعلان عن هذه الاكتشافات من قبل جيروم سيجورا (Jérôme Segura)، مدير الأبحاث في شركة Malwarebytes، في تقرير نشر يوم الخميس الماضي.

تفاصيل الحملة

جاءت هذه الاكتشافات بعد بضعة أسابيع من كشف الشركة نفسها عن حملة مشابهة استخدمت إعلانات غوغل الممولة لاستهداف الأفراد والشركات المعلنة عبر منصة الإعلان الخاصة بغوغل. تستهدف الهجمات الجديدة المستخدمين الذين يبحثون عن مصطلحات مثل “Microsoft Ads” على محرك البحث غوغل، بهدف خداعهم للنقر على روابط خبيثة تظهر في شكل إعلانات ممولة في صفحات نتائج البحث.

تقنيات التهرب من الكشف

يستخدم المهاجمون تقنيات متعددة للتهرب من الكشف بواسطة أدوات الأمان. يتضمن ذلك إعادة توجيه الحركة التي تنشأ من شبكات VPN إلى موقع تسويق وهمي. كما يتم تقديم تحديات Cloudflare لزوار الموقع في محاولة لتصفية الروبوتات.

أما المستخدمين الذين يحاولون زيارة الصفحة النهائية مباشرةً (“ads.mcrosoftt[.]com”)، فيتم تحويلهم إلى فيديو على يوتيوب مرتبط بميم الإنترنت الشهير “ريك رول” (Rickroll).

تحليل الحملة وتأثيرها

تعتبر صفحة التصيد نسخة مشابهة للصفحة الشرعية (“ads.microsoft[.]com”)، حيث تم تصميمها لالتقاط بيانات اعتماد تسجيل الدخول وأكواد المصادقة الثنائية (2FA) للضحايا، مما يمنح المهاجمين القدرة على اختراق حساباتهم. ذكرت شركة Malwarebytes أنها حددت بنية تصيد إضافية تستهدف حسابات مايكروسوفت منذ عدة سنوات، مما يشير إلى أن الحملة قد استمرت لبعض الوقت وقد تكون استهدفت أيضًا منصات إعلانية أخرى مثل Meta.

استهداف مواقع أخرى

لاحظت الشركة أن غالبية نطاقات التصيد تستضيف في البرازيل أو تحمل نطاق المستوى الأعلى البرازيلي “.com.br”، مما يعكس الحملة التي استهدفت مستخدمي إعلانات غوغل والتي كانت تستضيف بشكل رئيسي على نطاق “.pt”.

في حين تواصلت The Hacker News مع غوغل للتعليق، أشارت الشركة في السابق إلى أنها تتخذ خطوات لمنع الإعلانات التي تهدف إلى خداع المستخدمين لسرقة معلوماتهم، وأنها تعمل بنشاط على فرض تدابير مضادة ضد مثل هذه الجهود.

حملات تصيد الرسائل النصية (Smishing) تتنكر في هيئة USPS

يأتي هذا الكشف عقب ظهور حملة تصيد عبر الرسائل النصية تستخدم حيل فشل تسليم الطرود لاستهداف مستخدمي الأجهزة المحمولة بتنكر في هيئة خدمة البريد الأمريكية (USPS). ذكر الباحث فرناندو أورتيغا (Fernando Ortega) من Zimperium zLabs في تقرير نشر هذا الأسبوع أن “هذه الحملة تستخدم تكتيكات هندسة اجتماعية متقدمة ووسائل جديدة لتقديم ملفات PDF خبيثة مصممة لسرقة البيانات الحساسة”.

تحليل حملة Smishing وتأثيرها

تطلب الرسائل من المستلمين فتح ملف PDF مرفق لتحديث عنوانهم لإتمام التسليم. يتم توجيه الضحايا في مستند PDF إلى صفحة تصيد USPS، حيث يُطلب منهم إدخال عنوان البريد الإلكتروني والعنوان البريدي ورقم الهاتف. كما أن صفحة التصيد مجهزة لالتقاط تفاصيل بطاقة الدفع تحت ستار رسوم خدمة لإعادة التسليم. تم اكتشاف ما يصل إلى 20 ملف PDF خبيث و630 صفحة تصيد كجزء من الحملة، مما يشير إلى عملية واسعة النطاق.

تمثل هذه الأنشطة دليلاً على أن المجرمين السيبرانيين يستغلون الثغرات الأمنية في الأجهزة المحمولة لتنفيذ هجمات هندسة اجتماعية تستغل ثقة المستخدمين في العلامات التجارية الشهيرة والاتصالات الرسمية المظهر.

استراتيجيات جديدة للتصيد عبر iMessage

استخدمت هجمات Smishing ذات الطابع USPS أيضًا نظام iMessage من Apple لتوصيل صفحات التصيد، وهي تقنية معروفة بتبنيها من قبل جهة تهديد ناطقة بالصينية تُدعى Triad Smishing. تحاول هذه الرسائل بذكاء تجاوز إجراء الأمان في iMessage الذي يمنع الروابط من أن تكون قابلة للنقر إلا إذا كانت الرسالة من مرسل معروف أو من حساب يرد عليه المستخدم. يتم تحقيق ذلك عن طريق تضمين رسالة “الرجاء الرد بـ Y” أو “الرجاء الرد بـ 1” في محاولة لتعطيل حماية التصيد المضمنة في iMessage.

تجدر الإشارة إلى أن هذا النهج سبق ربطه بمجموعة أدوات التصيد كخدمة (PhaaS) المسماة Darcula، والتي استخدمت في استهداف واسع للخدمات البريدية مثل USPS وغيرها من المنظمات المعترف بها في أكثر من 100 دولة.

ذكر الباحث ترومان كاين (Truman Kain) من Huntress: “قام المحتالون ببناء هذا الهجوم بشكل جيد نسبياً، وهذا هو السبب في أنه يُرى بشكل متكرر في العالم الواقعي”.

هل وجدتم هذا المقال مثيرًا للاهتمام؟ تابعونا على تويتر وفيسبوك لقراءة المزيد من المحتوى الحصري الذي ننشره.