Home
Cyber-Security

مخترقين يستغلون Google AppSheet وNetlify وTelegram في حملة تصيد

Cybersecurity Arab

آلية الهجوم والتقنيات المستخدمة

تعتمد الحملة على استغلال ثقة المنصات المشروعة بدلاً من انتحال نطاقات مزيفة. يرسل المهاجمون رسائل تصيد عبر خوادم Google باستخدام عنوان noreply@appsheet.com، مما يسمح لها بالمرور عبر اختبارات المصادقة SPF وDKIM وDMARC دون عوائق. ونظراً لأن الرسائل تأتي من بنية تحتية مملوكة لشركة Google، فإن أنظمة الحماية تتجاهلها بشكل روتيني، مما يجبر الضحايا على الاعتماد فقط على قدرتهم على تمييز المحتوى الخادع داخل الرسالة نفسها.

Attackers Abuse Google AppSheet, Netlify, and Telegram in Facebook Phishing Campaign

الأساليب التقنية المستخدمة

  • إشعارات مزيفة لمركز مساعدة فيسبوك: تحذر من تعطيل الحساب نهائياً.
  • تقنيات استنساخ HTTrack: لإنشاء نسخ مطابقة للمواقع الشرعية.
  • نطاقات فرعية فريدة: لتجنب قوائم الحظر.
  • وظائف خادم بلا خادم: لسرقة البيانات.
  • دعوات للتحقق من الشارة الزرقاء: أو عروض حصرية للمعلنين.
  • إخفاء يونيكود في العناوين المسبقة: لإخفاء نوايا الرسالة.
  • حاجز reCAPTCHA مزيف: لإضفاء المصداقية على الصفحة.
  • نصوص التحقق الفوري للمصادقة: لسرقة بيانات الدخول فوراً.
  • إشعارات مزيفة من Meta: تبدو كإشعار عادي مكون من صورة واحدة.
  • ألواح تصيد قائمة على WebSocket: تتيح تفاعلاً فورياً مع المهاجمين.
  • عروض وظيفية مزيفة: من شركات تكنولوجية كبرى مثل Meta وApple.
  • قنوات تواصل خارج المنصة: مثل استخدام أسماء عرض مزيفة بالحروف السيريلية.

دور Telegram في تسهيل الهجوم

تعتمد عملية "AccountDumpling" بالكامل على روبوتات Telegram لإدارة الأوامر والتحكم في سرقة البيانات. يتم إرسال بيانات الاعتماد، رموز المصادقة الثنائية، تواريخ الميلاد، وصور الهوية الحكومية فوراً إلى قنوات خاصة على Telegram. يراقب المشغلون هذه القنوات بشكل مباشر للتحقق من البيانات المسروقة وتنفيذ عمليات الاستيلاء على الحسابات في الوقت الفعلي.

تشير بيانات الاسترداد من البنية التحتية للروبوتات إلى معالجة ما يقرب من 30 ألف سجل ضحايا. كما كشفت التحليلات الجغرافية أن 68.6% من الأهداف كانوا في الولايات المتحدة.

صورة توضيحية
صورة توضيحية

الكشف عن هوية المهاجمين

تمكنت بحوث شركة Guardio Labs من تتبع جوهر العملية إلى مهاجم فيتنامي بعد خطأ أمني حرج. احتفظ ملف PDF تم إنشاؤه عبر Canva في إحدى مجموعات الهجوم الثالثة بمعلومات المؤلف، مما كشف عن الاسم الحقيقي "PHẠM TÀI TÂN". ارتبط هذا الاسم بشخصية أعمال عامة في فيتنام تعلن بشكل نشط عن خدمات استعادة حسابات فيسبوك والأمن السيبراني.

يكشف هذا الكشف عن اقتصاد إجرامي دائري، حيث يسرق المهاجمون أصولاً تجارية ثم يستخدمونها لتشغيل حملات احتيالية، قبل محاولة بيع خدمات الاستعادة للضحايا الأصليين.

صورة توضيحية
صورة توضيحية

Post a Comment