هجوم إلكتروني متطور يستهدف المديرين الماليين عالمياً: استخدام أدوات شرعية لإخفاء الهجمات

حملة تصيد إلكتروني متقدمة تستهدف كبار المديرين

حذرت شركة تريليكس (Trellix) للأمن السيبراني من حملة تصيد إلكتروني مُحكمة تستهدف المديرين الماليين في كبرى الشركات العالمية العاملة في قطاعات البنوك، والطاقة، والتأمين، والاستثمار. انتشرت هذه الحملة الخبيثة في ست مناطق جغرافية على الأقل، تشمل أوروبا، والشرق الأوسط، وكندا، مما يبرز مدى خطورتها واتساع نطاقها. تُظهر هذه الحملة تطوراً ملحوظاً في أساليب الاحتيال الإلكتروني، حيث تعتمد على تقنيات متقدمة لإخفاء هوية المهاجمين وأنشطتهم.

تفاصيل الهجوم: استغلال أداة شرعية "NetBird"

كشفت الباحثة الأمنية سريني سيثاباثي عن تفاصيل الهجوم، مُوضحةً أن المهاجمين يستخدمون أداة "NetBird" المشروعة للاتصال عن بُعد. هذه الأداة، التي تُستخدم عادةً لأغراض مشروعة، تم توظيفها بطريقة خبيثة لإخفاء الهجمات وتسهيل عملية الاختراق. تُعد هذه الطريقة من أساليب الاختراق المتقدمة، حيث يصعب على أنظمة الأمن التقليدية كشفها. فهي تتجاوز العديد من برامج مكافحة الفيروسات التقليدية، مما يزيد من صعوبة اكتشافها.

بداية الهجوم: رسائل بريد إلكتروني مُضللة

تبدأ الحملة برسالة بريد إلكتروني مُزيفة، تُحاكي رسالة من مسؤول توظيف في شركة روتشيلد وشركاه، وتُقدم "فرصة استراتيجية مغرية" لجذب الضحايا. يُخفي هذا التزييف المُتقن نوايا المهاجمين الحقيقية، مستغلاً ثقة الضحايا في مصدر الرسالة. يحتوي البريد الإلكتروني على رابط يُوَجه الضحية إلى موقع احتيالي مُخفي، يتطلب اجتياز اختبار CAPTCHA قبل الوصول إليه. هذه الخطوة تُضيف طبقة إضافية من الإخفاء، وتُوهم الضحية بأن الموقع آمن وموثوق.

تنزيل البرامج الخبيثة والتحكم الكامل بالجهاز

بعد اجتياز اختبار CAPTCHA، يُحمّل ملف خبيث على جهاز الضحية، ويبدأ تنفيذ سلسلة من الأوامر البرمجية المعقدة. تنتهي هذه العملية بتثبيت أداة "NetBird" وإنشاء حساب مخفي للمهاجمين، مما يُمنحهم تحكماً كاملاً بالجهاز المصاب. يستطيع المهاجمون من خلال هذا التحكم الوصول إلى جميع البيانات الحساسة، بما في ذلك المعلومات المالية والبيانات الشخصية، وإحداث ضرر كبير بالشركة المُصابة. يُمكنهم أيضاً استخدام الجهاز المُختَرَق كمنصة لإطلاق هجمات إلكترونية أخرى على أهداف أخرى.

تطور تقنيات التصيد الإلكتروني: "التصيد كخدمة" (PhaaS)

يُبرز هذا الهجوم تطورًا ملحوظًا في تقنيات التصيد الإلكتروني، حيث لم يتم تحديد الجهة المسؤولة عن هذه الحملة حتى الآن. يُشير هذا إلى تزايد استخدام خدمات التصيد كخدمة (PhaaS)، وهي منصات تُقدم خدمات احتيال إلكتروني متقدمة للمجرمين، مما يُسهّل عليهم عملية شن الهجمات دون الحاجة لامتلاك خبرة تقنية عالية. من أمثلة هذه الخدمات: "Tycoon2FA"، و"Darcula"، و"Haozi". تُقدم هذه المنصات أدوات متقدمة، مثل القدرة على تجاوز المصادقة متعددة العوامل (MFA)، مما يزيد من صعوبة وقفها.

استغلال أدوات مشروعة وخدمات معروفة

لم يقتصر الأمر على استخدام أداة "NetBird" فقط، بل استُغِلّت أيضاً أدوات وخدمات مشروعة أخرى، مثل Google Apps Script، وNotion، ونسخ قديمة من Microsoft Office، لبناء صفحات تسجيل دخول مزيفة وسرقة بيانات المستخدمين. حتى نطاقات بريد إلكتروني موثوقة، مثل "company@nifty[.]com"، تم استغلالها في بعض الحملات، مما يُظهر براعة المهاجمين في التخفي والخداع. كما لوحظت محاولات احتيال تستهدف خدمات دفع إلكترونية شهيرة، مثل أبل باي وياهو ميل.

التصدي للتهديدات: الوعي والتدريب هما خط الدفاع الأول

حذرت مايكروسوفت من تطور تقنيات التصيد التي تستهدف تجاوز المصادقة متعددة العوامل (MFA)، باستخدام رموز الجهاز، وموافقات OAuth، وحتى دعوات اجتماعات خبيثة. يُؤكد إيغور سخنوف، نائب رئيس أمن الهوية في مايكروسوفت، أن المستخدم البشري هو الحلقة الأضعف في أي نظام أمني. لذلك، يُشدد على أهمية الوعي والتدريب على تقنيات الاحتيال الحديثة كخط دفاع أول ضد هذه التهديدات المتطورة. يُنصح بتحديث أنظمة الحماية باستمرار، وتدريب الموظفين على التعرف على رسائل البريد الإلكتروني الاحتيالية، والتحقق من هوية المُرسِل قبل فتح أي روابط أو تحميل أي ملفات. كما يجب على الشركات تبني سياسات أمنية صارمة، وتحديث أنظمتها باستمرار لمواكبة التطورات في تقنيات الاحتيال الإلكتروني. الوقاية خير من العلاج، والوعي هو السلاح الأفضل لمواجهة هذه التهديدات المتزايدة.