Netcrook Logo
👤 BYTEHERMIT
🗓️ 18 Dec 2025  

بيع بيانات اعتماد الشركات: كيف تحوّل ملفات PDF الخبيثة خدمات السحابة إلى بوابات للجريمة الإلكترونية

العنوان الفرعي: ملفات PDF لأوامر شراء مزيفة تستغل البنية التحتية الموثوقة لسرقة بيانات دخول الشركات وتحويلها مباشرة إلى تيليغرام.

تبدأ القصة برسالة في بريدك الوارد - ملف PDF لأمر شراء، عاجل ورسمي، يعد بأعمال جديدة. لكن بنقرة واحدة غير محسوبة، قد تصبح مفاتيح شركتك الرقمية في أيدي مجرمي الإنترنت، تُرسل فوراً عبر قنوات مشفرة. مرحباً بك في أحدث تطور في هجمات التصيد: ملفات PDF مُسلّحة تستغل خدمات السحابة الشرعية لتجاوز الدفاعات واستهداف مستخدمي الأعمال حول العالم.

رصد الباحثون التهديد لأول مرة عندما ظهر ملف PDF بعنوان "NEW Purchase Order #52177236.pdf"، حيث أخفى زر "عرض المستند" البريء ظاهرياً رابطاً مشبوهاً. كان عنوان الرابط، الذي يخفيه نطاق ionoscloud.com الموثوق، يقود ليس إلى مستندات حقيقية بل إلى عارض PDF مزيف مستضاف على موقع مخترق. هناك، يُطلب من الضحايا إدخال بيانات اعتماد بريدهم الإلكتروني الخاص بالعمل - بيانات يمكن أن تفتح كل شيء من Microsoft Outlook إلى Google Workspace والشبكات الافتراضية الخاصة (VPN).

ولا تتوقف الحيلة عند الطُعم فقط. تظهر صفحة التصيد أحياناً باللغة الإسبانية، ما يشير إلى استهداف إقليمي، لكن البنية التحتية عالمية. يستغل المهاجمون عمالقة السحابة مثل AWS وAzure، مدركين أن النطاقات الصادرة عن هذه المنصات أقل عرضة لإثارة الشكوك. هذا الاستغلال للتقنية الموثوقة خطوة محسوبة: يتجاوز القوائم السوداء ويستفيد من سمعة المزودين الشرعيين.

في الخلفية، يقوم ملف جافاسكريبت ضخم يضم 113,000 سطر بالعمل القذر. عند فك تشفيره، يكشف عن مجموعة من روتينات جمع البيانات - لا تقتصر على أسماء المستخدمين وكلمات المرور، بل تشمل أيضاً تفاصيل المتصفح، ونظام التشغيل، وإعدادات اللغة، وحجم الشاشة، والموقع الجغرافي، وحتى ملفات تعريف الارتباط للمتصفح. يتم تحويل كل هذه المعلومات مباشرة إلى بوت تيليغرام خاص بالمهاجم، باستخدام معرف دردشة مدمج في الكود. من خلال استغلال التشفير في تيليغرام، يتجنب المهاجمون الحاجة لبنية تحتية خاصة بهم، مما يصعّب عمليات الإزالة والتتبع على المحققين.

وجد المحققون عدة نسخ من ملف PDF الخبيث على VirusTotal، جميعها مرتبطة بنفس النطاق الفرعي ionoscloud.com. يشير ذلك إلى نموذج توزيع آلي وواسع النطاق، مع قوالب مستنسخة تُنشر على نطاق واسع عبر الإنترنت.

كيف يمكن للشركات حماية نفسها؟ ينصح الخبراء بالحذر من أوامر الشراء غير المتوقعة، خاصة تلك التي تصل عبر البريد الإلكتروني. تحقق دائماً مباشرة مع المرسل قبل فتح المرفقات أو النقر على الروابط المضمنة. يمكن لأدوات الأمان مثل Malwarebytes Premium وScam Guard المساعدة في اكتشاف هذه التهديدات وحجبها، بينما تقلل مديري كلمات المرور من خطر إدخال بيانات الاعتماد عن طريق الخطأ في مواقع مزيفة.

الدرس واضح: في عصر ملفات PDF المُسلّحة والتصيد المدعوم بالسحابة، حتى نقرة واحدة قد تفتح أبواب شبكة شركتك بالكامل. اليقظة، والأمان متعدد الطبقات، وجرعة صحية من الشك أصبحت أكثر أهمية من أي وقت مضى.

ويكيكروك

  • التصيد الاحتيالي: التصيد الاحتيالي هو جريمة إلكترونية يرسل فيها المهاجمون رسائل مزيفة لخداع المستخدمين للكشف عن بيانات حساسة أو النقر على روابط خبيثة.
  • جافاسكريبت مموهة: جافاسكريبت المموهة هي شيفرة يتم تشويشها عمداً لإخفاء هدفها الحقيقي، مما يصعب على البشر وأدوات الأمان تحليلها أو اكتشاف التهديدات.
  • البنية التحتية السحابية: البنية التحتية السحابية هي الأساس الإلكتروني من الأجهزة والبرمجيات الذي يتيح للشركات تخزين البيانات وتشغيل الخدمات عن بُعد، وليس على الأجهزة المحلية.
  • بوت تيليغرام: بوت تيليغرام هو برنامج آلي على تيليغرام يمكنه إرسال أو استقبال الرسائل، وغالباً ما يُستخدم للأتمتة أو من قبل مجرمي الإنترنت لإدارة البرمجيات الخبيثة.
  • فيروس توتال: فيروس توتال هو أداة إلكترونية تفحص الملفات والروابط بحثاً عن البرمجيات الخبيثة باستخدام عدة محركات مضادة للفيروسات، مما يساعد المستخدمين على اكتشاف التهديدات بسرعة وموثوقية.
Phishing Malicious PDFs Cloud Services
BYTEHERMIT BYTEHERMIT
Air-Gap Reverse Engineer
← Back to news