Netcrook Logo
👤 LOGICFALCON
🗓️ 27 Jan 2026   🌍 Asia

التصيد مقابل الروبيات: كيف تفتح رسائل الضرائب المزيّفة باب التجسس في الهند

العنوان الفرعي: موجة من هجمات التصيد ذات الطابع الضريبي تطلق برمجيات خبيثة متقدمة وأدوات تجسس على مستخدمين هنود غير مرتابين.

في صباح هادئ من أيام الأسبوع، تصل إلى صندوق بريدك رسالة تبدو اعتيادية من دائرة ضريبة الدخل الهندية. يحذّر سطر الموضوع من غرامات ويدفعك إلى اتخاذ إجراء فوري. لكن خلف هذه الواجهة الرسمية تختبئ حبكة سيبرانية متقنة، تسللت بهدوء إلى أجهزة مواطنين هنود، محوّلة موسم الضرائب إلى موسم مفتوح لمجرمي الإنترنت.

وفقاً لوحدة الاستجابة للتهديدات في eSentire، فإن هذه الحملة ليست مجرد عملية تصيد أخرى. فمن خلال تسليح رسائل تبدو وكأنها صادرة عن السلطات الضريبية، يستدرج المهاجمون الضحايا إلى تنزيل أرشيف ZIP. في الداخل، تختبئ خمسة ملفات، لا يظهر للمستخدم منها سوى واحد - ملف تنفيذي يبدو غير مؤذٍ. لكن تشغيل هذا الملف يطلق سلسلة تفاعلات: يتم تحميل DLL خبيث بطريقة sideloading، ثم يتصل بخادم بعيد لجلب المرحلة التالية من الهجوم.

وما يلي ذلك هو درس متقن في التخفي والاستمرارية. يستخدم الشِل كود الذي يتم تنزيله حِيَلاً متقدمة لتجاوز أمان ويندوز (التحكم في حساب المستخدم) ويتنكر على هيئة العملية الشرعية "explorer.exe". وإذا تم اكتشاف مضاد الفيروسات الشائع Avast، تحاكي البرمجية الخبيثة بذكاء حركات الفأرة لإضافة نفسها إلى قائمة الاستثناءات في مضاد الفيروسات، متفاديةً الكشف دون تعطيل الحماية بشكل صريح.

أما الحمولة النهائية؟ فهي نسخة معدلة من حصان طروادة المصرفي سيّئ السمعة Blackmoon، الذي ظهر لأول مرة عام 2015، وقد أُعيد توظيفه الآن لأغراض التجسس. وإلى جانبه، ينشر المهاجمون SyncFuture TSM، وهي أداة شرعية للمراقبة عن بُعد طورتها شركة صينية. يمنح هذا النهج ثنائي التهديد مجرمي الإنترنت القدرة على المراقبة والتحكم وتهريب البيانات من الأنظمة المصابة في الزمن الحقيقي - كل ذلك مع الاندماج ضمن برمجيات مؤسسية اعتيادية.

ولتثبيت موطئ قدمهم، يستخدم المهاجمون سكربتات دفعية للتلاعب بأذونات المستخدم، وإنشاء أدلة مخفية، وإجراء عمليات تنظيف لإخفاء آثارهم. كما ينسق ملف تنفيذي إضافي، "MANC.exe"، هذه الأنشطة، بما يضمن بقاء وجودهم غير مكتشف ودائماً.

ومن خلال الجمع بين تقنيات مقاومة التحليل، ورفع الامتيازات، وإساءة استخدام أدوات مؤسسية موثوقة، أظهر المهاجمون براعة تقنية ونوايا مقلقة. ومع اقتراب موسم الضرائب، يُحث المستخدمون في الهند على توخي الحذر: فقد يتربص خلف كل رسالة عاجلة من "مكتب الضرائب" مراقب صامت، يراقب وينتظر.

الخلاصة

تُعد هذه الحملة تذكيراً صارخاً بأن حتى أكثر التفاعلات الرقمية اعتيادية - مثل الرد على إشعار ضريبي - قد تفتح الباب أمام تجسس سيبراني متقدم. ومع ازدياد جرأة المهاجمين وإبداعهم، يستمر الخط الفاصل بين أدوات الأعمال الشرعية وأطر التجسس الخبيثة في التلاشي. إن اليقظة الرقمية، خصوصاً خلال الفترات عالية المخاطر مثل موسم الضرائب، باتت أكثر أهمية من أي وقت مضى.

WIKICROOK

  • التصيد (Phishing): التصيد جريمة سيبرانية يرسل فيها المهاجمون رسائل مزيفة لخداع المستخدمين للكشف عن بيانات حساسة أو النقر على روابط خبيثة.
  • التحميل الجانبي لـ DLL (DLL Sideloading): يحدث التحميل الجانبي لـ DLL عندما يخدع المهاجمون برامج موثوقة لتحميل ملفات مساعدة خبيثة (DLLs) بدلاً من الملفات الشرعية، ما يتيح هجمات خفية.
  • الشِل كود (Shellcode): الشِل كود برنامج صغير يحقنه المهاجمون لتنفيذ أوامر أو تنزيل مزيد من البرمجيات الخبيثة، وغالباً ما يُستخدم لاستغلال الثغرات في الأنظمة.
  • رفع الامتيازات (Privilege Escalation): يحدث رفع الامتيازات عندما يحصل المهاجم على وصول أعلى مستوى، منتقلاً من حساب مستخدم عادي إلى صلاحيات المسؤول على نظام أو شبكة.
  • المراقبة والإدارة عن بُعد (Remote Monitoring and Management - RMM): المراقبة والإدارة عن بُعد (RMM) هي أدوات تقنية معلومات تتيح للمتخصصين التحكم عن بُعد ومراقبة وصيانة الحواسيب - مفيدة للدعم، لكنها خطرة إذا أسيء استخدامها.
Phishing Cybersecurity Espionage
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news