Netcrook Logo
👤 LOGICFALCON
🗓️ 03 Mar 2026  

إعادات توجيه OAuth: الباب الخلفي الجديد في هجمات البرمجيات الخبيثة على الحكومات

العنوان الفرعي: يحذّر Microsoft من أن مجرمي الإنترنت يختطفون أنظمة تسجيل الدخول الموثوقة لتسليم برمجيات خبيثة متطورة مباشرة إلى أهداف حكومية.

بدأ الأمر برسالة بريد إلكتروني تبدو بريئة - ربما طلب توقيع إلكتروني، أو تسجيل اجتماع على Teams، أو مستند حكومي. لكن بالنسبة لموظفي القطاع العام حول العالم، كان النقر على ذلك الرابط يعني السير مباشرة إلى فخّ مجرمي الإنترنت. يكشف أحدث تحقيقات Microsoft عن منعطف جديد مخيف في الحرب السيبرانية المستمرة: المهاجمون يسلّحون OAuth، وهو معيار أساسي لتسجيل الدخول على الإنترنت، لتهريب البرمجيات الخبيثة حتى عبر أقوى الدفاعات.

صُمّم OAuth لجعل تسجيل الدخول أكثر أمانًا وأسهل، إذ يتيح للمستخدمين الوصول إلى خدمات متعددة عبر حساب موثوق واحد. لكن هذه السهولة نفسها أصبحت سلاحًا ذا حدّين. فقد كشف فريق أمن Microsoft عن حملات تصيّد لا تسرق كلمات المرور ولا تستغل ثغرات برمجية. بدلًا من ذلك، تتلاعب بآليات إعادة التوجيه الطبيعية في OAuth - وهي ميزات صُممت للتعامل مع الأخطاء أو إدارة تدفق المستخدم - وتحوّلها إلى أداة لتحقيق مكاسب خبيثة.

إليك كيف تتكشف الخطة: ينشئ مجرمو الإنترنت تطبيقًا خبيثًا ضمن مستأجرهم السحابي ويضبطون عنوان URL لإعادة التوجيه إلى نطاق مارق. يتلقى الضحايا رسائل تصيّد - غالبًا ما تُصاغ لتُحاكي اتصالات حكومية أو تجارية عاجلة - تتضمن روابط OAuth. وعندما ينقر المستخدم، يُطلب منه تسجيل الدخول عبر مزود موثوق مثل Entra ID أو Google Workspace. لكن بسبب نطاق (scope) غير صالح عمدًا في الطلب، يُفعَّل السلوك القياسي لـ OAuth: يُعاد توجيه المستخدم، لا إلى الأمان، بل مباشرة إلى موقع المهاجم الذي يستضيف البرمجيات الخبيثة.

تصل البرمجية الخبيثة على هيئة أرشيف ZIP. في الداخل، يقوم اختصار Windows مفخخ (LNK) بتشغيل أوامر PowerShell لاستطلاع المضيف، بينما يُسقط مُثبّت MSI مخفي مستندًا طُعمًا ويُحمّل جانبيًا DLL خبيثًا. تُفك شيفرة الحمولة النهائية في الذاكرة وتتصل بخادم خارجي، واضعة نظام الضحية بالكامل تحت سيطرة المهاجم. وفي بعض الحالات، تتصاعد الهجمات إلى سرقة بيانات الاعتماد باستخدام أطر متقدمة لخصم-في-الوسط مثل EvilProxy.

ولإضفاء مزيد من الشرعية، يشفّر المهاجمون عنوان بريد المستخدم الإلكتروني ضمن معامل الحالة (state) في OAuth، ما يجعل صفحات التصيّد تبدو مخصصة وأصيلة. وقد ساعدت أدوات الإرسال الجماعي ونصوص مخصصة بلغة Python وNode.js على توزيع هذه الرسائل على نطاق واسع، غالبًا عبر تضمين الروابط مباشرة أو داخل ملفات PDF.

استجابت Microsoft بتنظيف التطبيقات الخبيثة المعروفة لـ OAuth، وتحثّ المؤسسات على تشديد أذونات التطبيقات، ومراجعة الوصول بانتظام، وإزالة التطبيقات غير الضرورية أو المحفوفة بالمخاطر. لكن التحذير واضح: مع تزايد استغلال المهاجمين للبروتوكولات الموثوقة، يصبح الخط الفاصل بين الشرعي والخبيث رفيعًا على نحو خطير.

ومع تحوّل آليات الثقة الرقمية إلى ساحات قتال، قد يصبح كل تسجيل دخول كمينًا محتملًا. والدرس للمدافعين صارخ: الأمن لا يقتصر على حجب التهديدات الواضحة - بل يتعلق بالتشكيك في الأنظمة ذاتها التي نثق بها أكثر من غيرها.

WIKICROOK

  • OAuth: OAuth هو بروتوكول يتيح للمستخدمين منح التطبيقات وصولًا إلى حساباتهم دون مشاركة كلمات المرور، ما يعزز الأمان لكنه يطرح أيضًا بعض المخاطر.
  • Redirect URL: عنوان URL لإعادة التوجيه هو رابط ويب ينقل المستخدمين إلى موقع مختلف، وغالبًا ما يستخدمه المهاجمون لإخفاء الوجهات الخبيثة في عمليات التصيّد.
  • DLL Side: DLL Side هي تقنية يخدع فيها المهاجمون البرامج لتحميل ملفات DLL خبيثة، متجاوزين الأمان ومحققين وصولًا أو تحكمًا غير مصرح به.
  • PowerShell: PowerShell أداة برمجة نصية في Windows تُستخدم للأتمتة، لكن المهاجمين غالبًا ما يستغلونها لتنفيذ أعمال خبيثة خلسة.
  • Adversary: الخصم هو أي شخص أو مجموعة تحاول اختراق أنظمة الكمبيوتر أو البيانات، غالبًا لأغراض خبيثة مثل السرقة أو التعطيل.
OAuth Malware Attacks Cybersecurity
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news