🚧 Cybrat is a sub-brand of SySOC s.r.o. and is currently in beta phase
🚧 سيبرات علامة فرعية مملوكة لشركة سيسوك وتعمل حالياً ضمن المرحلة التجريبية

CYBRAT

ســيــبــرات

لأن الأمان يبدأ بالمعلومة

,

حملة مالويرتيسينج كبرى تستهدف الأجهزة العالمية عبر مواقع البث غير القانونية

2–3 minutes

كشفت شركة مايكروسوفت عن تفاصيل حملة مالويرتيسينج (Malvertising) واسعة النطاق يُقدّر أنها أثرت على أكثر من مليون جهاز حول العالم. ووصفت الشركة هذه الحملة بأنها هجوم انتهازي يهدف إلى سرقة المعلومات الحساسة. تم اكتشاف هذه الأنشطة لأول مرة في ديسمبر 2024، وتتابعها مايكروسوفت تحت تصنيف “Storm-0408″، وهو اسم يُستخدم لمجموعة من الجهات المهددة المعروفة بتوزيع البرمجيات الخبيثة عبر التصيد الاحتيالي وتحسين محركات البحث (SEO) ومالويرتيسينج.

التحليل والتفاصيل التقنية

بدأ الهجوم من مواقع بث غير قانونية تحتوي على عناصر إعادة توجيه مالويرتيسينج، مما يقود المستخدم إلى موقع وسيط قبل إعادة توجيهه إلى منصات مثل GitHub، حيث تم استخدامه لتسليم الحمولات الأولية. وقد تم إزالة هذه المستودعات الآن، فيما لم تكشف الشركة عن عدد المستودعات التي تم إزالتها.

يُعتبر استخدام GitHub لتسليم الحمولات الأولية من أبرز جوانب الحملة، حيث تم العثور على حمولات مشابهة مُستضافة على منصات مثل Discord وDropbox. تعمل هذه المستودعات كأرضية انطلاق لبرمجيات المالوير التي تُنشر برمجيات إضافية مثل لومّا ستييلر (Lumma Stealer) ودونيريوم (Doenerium)، التي تُجمع معلومات النظام.

الأثر والآثار الأمنية

تؤكد الحملة على الطابع العشوائي للهجوم، حيث أثرت على مجموعة واسعة من الأجهزة والمؤسسات في قطاعات متعددة، بما في ذلك الأجهزة الاستهلاكية والشركات. يتطلب هذا الهجوم تنفيذ سلسلة إعادة توجيه معقدة تتضمن من أربع إلى خمس مراحل، حيث يتم تضمين الموجه الأولي داخل عنصر iframe على مواقع البث غير القانونية التي تقدم محتوى مقرصن.

تتضمن العملية الكاملة للإصابة عدة مراحل:

  • المرحلة الأولى: تثبيت موطئ قدم على الأجهزة المستهدفة.
  • المرحلة الثانية: استكشاف النظام، جمع البيانات، وإرسال الحمولات.
  • المرحلة الثالثة: تنفيذ الأوامر، إرسال الحمولات، التهرب الدفاعي، والتواصل مع القيادة والسيطرة.
  • المرحلة الرابعة: استخدام سكريبت PowerShell لتكوين استثناءات Defender وتنزيل البيانات من خادم بعيد.

الآراء الخبيرة والتوسعات

تُظهر الهجمات استخدامًا مكثفًا لسكريبتات PowerShell لتنزيل NetSupport RAT وتحديد التطبيقات المثبتة وبرامج الأمان، مع فحص خاص لمحافظ العملات المشفرة، مما يشير إلى احتمال سرقة البيانات المالية. بالإضافة إلى ذلك، تم استخدام سكريبتات JavaScript وVBScript وAutoIT على الأجهزة المستهدفة.

أفادت شركة كاسبرسكي عن مواقع وهمية تتظاهر بأنها شات بوتات (Chatbots) مثل ديب سيك (DeepSeek) وجروك (Grok) تُستخدم لخداع المستخدمين لتنزيل برمجيات استيلاء على المعلومات غير موثقة من قبل. تُعلن هذه المواقع عن طريق حسابات موثوقة على منصة X، مثل @ColeAddisonTech و@gaurdevang2 و@saduq5، باستخدام سكريبتات PowerShell لمنح المهاجمين الوصول البعيد إلى الكمبيوتر.

خاتمة ونقاش

تثير هذه الحملة تساؤلات حول كيفية تعزيز الحماية الأمنية للمنصات العامة مثل GitHub وغيرها من منصات استضافة الأكواد. كيف يمكن تعزيز استراتيجيات الأمان لمنع استخدام هذه المنصات كنقاط انطلاق للبرمجيات الخبيثة؟ ندعوكم لمتابعتنا على X وفيسبوك للمزيد من المحتوى الحصري.

اكتشف المزيد مع سيبرات

اشترك ليصلك أحدث المنشورات على بريدك الإلكتروني

شاركنا رأيك بتعليق

المقالات الرائجة

اكتشف المزيد مع سيبرات

اشترك الآن للاستمرار في القراءة والحصول على الوصول الكامل إلى الأرشيف

تابع القراءة