تنكر البرمجيات الخبيثة: كيف تفتح تنزيلات أوفيس المزيفة الباب أمام التجسس على الشركات

العنوان الفرعي: يستخدم مجرمو الإنترنت التلاعب بنتائج البحث والإعلانات المزيفة لنشر باب خلفي خفي، مستهدفين الشركات بنجاح مقلق.

تبدأ القصة ببحث بسيط: "تحميل Microsoft Teams". لكن ماذا لو لم تكن النتيجة الأولى من مايكروسوفت أصلاً؟ في ظلال الإنترنت، يستغل مجرمو الإنترنت ثقتنا في الأدوات الشهيرة، ويجذبون المستخدمين إلى فخ قد يكلف الشركات ملايين الدولارات. تكشف الحملة الأخيرة، التي اكتشفتها CyberProof، عن مخطط متطور حيث تصيب صفحات تنزيل مزيفة لـ Microsoft Teams وGoogle Meet الضحايا بباب خلفي يُدعى Oyster - وهو متسلل صامت ذو تاريخ خطير.

حقائق سريعة

يستخدم المهاجمون تسميم نتائج البحث والإعلانات الخبيثة لدفع تنزيلات مزيفة لـ Microsoft Teams وGoogle Meet.
الباب الخلفي Oyster (المعروف أيضاً باسم Broomstick وCleanUpLoader) نشط منذ عام 2023 على الأقل.
يتم توقيع المثبتات المزيفة رقمياً بشهادات مسروقة أو تم الحصول عليها بطريقة احتيالية لتبدو شرعية.
ينشئ البرنامج الخبيث باباً خلفياً دائماً عن طريق تشغيل عملية مخفية كل 18 دقيقة.
القطاع المالي والشبكات المؤسسية هما الهدفان الرئيسيان، مع صلات بجماعات الفدية مثل Rhysida.

تشريح الخداع

في قلب هذه الحملة هجوم ذو شقين: تسميم نتائج البحث والإعلانات الخبيثة. يقوم مجرمو الإنترنت بالتلاعب بنتائج البحث حتى تحتل مواقعهم الخبيثة مرتبة أعلى من المواقع الرسمية، كما يشترون مساحات إعلانية لجذب المستخدمين غير المشتبهين. إذا نقرت على الرابط الخطأ، ستجد نفسك في موقع لا يمكن تمييزه عن صفحة تنزيل Microsoft Teams أو Google Meet الحقيقية. لكن المثبت الذي تحصل عليه هو حصان طروادة - وفي داخله ينتظر الباب الخلفي Oyster.

تم رصد Oyster لأول مرة من قبل IBM في عام 2023، وهو ليس برمجية خبيثة عادية. بمجرد تشغيله، يقوم بإسقاط ملف باسم AlphaSecurity.dll على نظام الضحية ويعد مهمة مجدولة لضمان الاستمرارية، حيث يتم تفعيلها كل 18 دقيقة. هذا يمنح المهاجمين وصولاً مستمراً، مما يسمح لهم بالمراقبة أو السرقة أو حتى ابتزاز البيانات الحساسة.

التكيف لتجنب الاكتشاف

لاحظ الباحثون في CyberProof أن المهاجمين يطورون أساليبهم باستمرار. فقد قلدت موجات سابقة من الحملة أدوات تقنية معلومات أخرى مثل PuTTY وWinSCP. هذا التكيف يُظهر استراتيجية محسوبة: تقليد أي برنامج شائع أو مستخدم على نطاق واسع في بيئات الشركات.

ولزيادة الطين بلة، غالباً ما يتم توقيع المثبتات المزيفة رقمياً بشهادات من شركات تبدو شرعية. وعلى الرغم من أن العديد من هذه الشهادات قد تم إلغاؤها، إلا أن الخداع مقنع بما يكفي لخداع حتى المستخدمين الحذرين - وبعض برامج الحماية أيضاً.

تجسس الشركات بنقرة واحدة

لماذا يجب أن تهتم الشركات؟ الباب الخلفي Oyster ليس مجرد إزعاج. لقد تم ربطه بعصابات برامج الفدية، بما في ذلك مجموعة Rhysida سيئة السمعة، والتي تتخصص في شل الشبكات المؤسسية وطلب فديات ضخمة. القطاع المالي، الذي كان دائماً هدفاً ثميناً، تحمل وطأة هذه الهجمات، لكن لا يوجد قطاع في مأمن.

يحذر الخبراء من أن هذا التهديد لم ينته بعد. مع تطور الحملة وتحسين المهاجمين لتكتيكاتهم، من المرجح أن يستمر الخطر - بل وينمو - حتى عام 2026 وما بعده.

الخلاصة: ثق، لكن تحقق دائماً

في المرة القادمة التي تحتاج فيها إلى تنزيل تطبيق شهير، فكر مرتين قبل النقر على أول نتيجة بحث. الطريق الأكثر أماناً؟ انتقل مباشرة إلى الموقع الرسمي أو متجر التطبيقات الموثوق. في عصر يمكن فيه تسليح محركات البحث والإعلانات، يمكن لقليل من الشك أن ينقذ عملك من عالم من المتاعب.

مسرد WIKICROOK

تسميم نتائج البحث (SEO Poisoning): تقنية يقوم فيها المهاجمون بالتلاعب بترتيب نتائج محركات البحث لجعل المواقع الخبيثة تبدو أكثر موثوقية وظهوراً.
الإعلانات الخبيثة (Malvertising): استخدام الإعلانات عبر الإنترنت لنشر البرمجيات الخبيثة، غالباً من خلال إخفاء التنزيلات الضارة في صورة إعلانات شرعية.
الباب الخلفي (Backdoor): طريقة خفية لتجاوز المصادقة العادية والوصول غير المصرح به إلى نظام كمبيوتر.
شهادة توقيع الكود (Code Signing Certificate): شهادة رقمية تُستخدم للتحقق من أصالة البرامج، وغالباً ما يستغلها المهاجمون لجعل البرمجيات الخبيثة تبدو شرعية.
الاستمرارية (Persistence): قدرة البرمجيات الخبيثة على الحفاظ على الوصول إلى النظام المصاب حتى بعد إعادة التشغيل أو محاولات الإزالة.